Lägga ut bilder på personal på hemsidan?
Vid marknadsföring av vara eller tjänst krävs samtycke för att använda personens namn eller bild. Ditt företag ska ha samtycket dokumenterat t.ex. skriftligen för att kunna visa att samtycket finns. Detta gäller enligt lagen om namn och bild i reklam m.m.
Gäller undantag från GDPR?
Bilder på identifierbara nu levande personer är personuppgifter. För att publiceringen av bilder på personalen ska följa GDPR (EU:s allmänna förordning om dataskydd för personuppgifter och kompletterande lagstiftning) måste ni till att börja med ta ställning till om bilderna omfattas av något undantag från GDPR t.ex. att de är för journalistiskt ändamål. Om bilderna, eller andra personuppgifter, är undantagna behöver ni inte tillämpa stora delar av GDPR t.ex. behövs inte laglig grund för behandling, information till de registrerade m.m.
Om GDPR ska tillämpas fullt ut på bilderna på hemsidan måste ditt företag följa de grundläggande principerna. Det innebär att ni ska ha ett ändamål med behandlingen som är förenligt med det ändamål för vilket ni samlade in uppgifterna. Publiceringen ska inte omfatta mer uppgifter eller vara längre än som behövs. Ni måste också tänka på säkerheten så att uppgifterna inte förvanskas m.m. Ni ska också visa att ni har laglig grund för behandlingen t.ex. samtycke eller efter intresseavvägning.
Innan du lägger ut bilder på nu levande personer på nätet är det lämpligast att du får personens uttryckliga samtycke. Anställda anses ofta inte kunna lämna ett giltigt samtycke enligt GDPR. Därför behöver du som arbetsgivare ha en annan grund för behandlingen t.ex. att det är en nödvändig följd för att uppfylla anställningsavtalet eller intresseavvägning. Detta eftersom bilden anses vara en personuppgift.
Gör en intresseavvägning
Intresseavvägning innebär att ditt företags berättigade intresse vägs mot personens behov av integritet för dessa uppgifter. Har en anställd en starkt kundorienterad roll kan arbetsgivarens intresse väga över och bildens publicering anses tillåten. För att bara publicera uppgifter om anställda såsom, namn, e-mail, titel och telefonnummer behövs generellt inte den anställdas godkännande men även här kan en intresseavvägning bli aktuellt.
Ditt företag ska i registret över behandlingar av personuppgifter ta med era bedömningar när det gäller publicering av uppgifter om personalen. Dessutom ska personal ha fått information om behandlingen, sina rättigheter m.m. Som arbetsgivare bör du ha en sammanhållen information till anställd för all hantering av personuppgifter.
Ett samtycke ska enligt GDPR lämnas frivilligt efter information om hur personuppgifterna ska behandlas och samtycket ska vara dokumenterat. Det ska vara lika enkelt att ta tillbaka sitt samtycke som att lämna det. Om någon som lämnat sitt samtycke till att deras uppgifter finns med på hemsidan drar tillbaka sitt samtycke ska ni ta bort uppgifterna. För det fall att personen har utåtriktade arbetsuppgifter kan ni då undersöka om ni istället kan ha intresseavvägning som laglig grund för behandlingen.