Foto
”En hårfrisersalong eller en restaurang som har några trevliga bilder på kunder hängande på en vägg”
”Ett foto uppladdat till Facebook från företagets senaste mingel”
”Ett foto i en personal-mapp”
”En film från en övervakningsvideo”
I samtliga fall där det går att identifiera någon på fotot rör det sig enligt GDPR om en personuppgift, med stränga krav på behandlingen. I fallet med video-övervakningen kan det även leda till krav på en konsekvensbedömning, strängare krav på register och ett dataskyddsombud. Fotot i personal-mappen kan troligen behandlas med stöd av det underliggande anställningsavtalet – men det gäller att även här tänka igenom vad som verkligen behövs.
Fotografier är en typ av personuppgifter som många har reagerat över och som ibland helt har missats i den inventering som skett. Då behandlingen i många fall (medvetet eller omedvetet) skett genom samtycke – som i fallet med frisersalongen och företagsminglet – måste man försäkra sig om att det går att visa hur och när samtycke givits.
I vissa fall har bilder säkert också tagits utan att man uttryckligen bett om lov och informerat om syftet bakom eller om hur länge man tänker spara fotot – och då måste detta ske (eller fotografierna förstöras) innan 25:e maj 2018.
Ett sms där du sjukskrivit dig
Uppgifter om någons hälsa är en särskild kategori av personuppgifter, som huvudregel förbjudet att hantera.
Samtycke är ett av undantagen. Den som sms:at har genom att skicka meddelandet uppenbarligen, initialt, samtyckt till behandlingen av alla detaljer. Vill arbetsgivaren fortsätta att behandla dessa (t.ex. behålla sms:et eller skriva ner det i en HR-mapp) så måste nytt samtycke inhämtas. Om uppgifterna rensas från ovidkommande detaljer och om endast uppgifter som behövs för att uppfylla regler om sjukersättning och arbetsledning sparas, går det att behålla dem med stöd av dessa rättsliga eller avtalsmässiga krav – men bara så länge det behövs för att uppfylla syftet. Det blir alltså svårt att motivera några detaljer utöver att det gäller en sjukskrivning och dess längd – så all sådan information bör ni gå igenom, knyta till lagstöd eller samtycke, till ett specifikt syfte och även bestämma när informationen till slut kan raderas helt.
IP-nummer
IP-nummer anses kunna knytas till en specifik person och är alltså en personuppgift i GDPR:s ögon. Det finns en rad sätt att motivera behandling av IP-nummer, se bland annat p.49 i de inledande skälen till förordningen, där IT-säkerhet är en grund. Att identifiera en kund vid ett avbetalningsköp kan vara en annan. Precis som vid all annan personuppgiftshantering gäller det dock att redan innan insamlandet försäkra sig om, och tydligt kommunicera, att man samlar in information med ett specifikt lagstöd (artikel 6), för ett specifikt, och i tiden avgränsat, syfte.
Vilka mindre uppenbara personuppgifter har ni identifierat i er organisation?