Frågor och svar om GDPR för kommunikatörer

Kommuner och andra myndigheter kan vara skyldiga att spara till exempel ett foto enligt arkivlagen, även om den inte får användas för bildpublicering. Av denna anledning är samtycke inte en lämplig grund att använda för publicering av bilder på till exempel sociala medier och webb.

Man får normalt spara uppgifter eftersom de är en inkommen handling. Däremot är det inte säkert att uppgifterna får ligga kvar på det sociala mediet. Om det till exempel är en sekretessbelagd uppgift så måste den tas bort från kommunens sociala mediekonto.

Om uppgiften/bilden ska raderas totalt eller ej beror på hur kommunens gallringsregler med stöd av arkivlagen ser ut. Det beror också på vilken relevans uppgiften har för kommunens verksamhet.

Om du inte kan inhämta samtycke för publicering av bilderna så måste du antingen hitta en annan laglig grund eller gallra. När en myndighet raderar bilder i ett bildarkiv så är det gallring enligt arkivlagen och du måste ha stöd i gallringsbeslutet i din verksamhet för att få gallra.

Det är inte säkert att bilderna måste gallras. Däremot kan det vara stopp att använda bilden i publiceringar på webben om det inte finns samtycke.

Frågan är komplex och det är svårt att ge ett uttömmande svar.

Materialet får ligga kvar så länge som samtycket tillåter, för det mesta så länge som kampanjen pågår. Däremot kan ni ha rätt att spara filmen i ert arkiv i kommunen. En film som produceras för en kampanj får ses som en allmän handling som kan gallras med stöd av arkivlagen och ett gallringsbeslut i verksamheten. Den får dock inte raderas enbart med stöd av dataskyddsförordningens regler.

För att det ska vara fråga om allmänt intresse ska det allmänna intresset följa av lag eller annan författning (till exempel förordning), av kollektivavtal eller av beslut som har meddelats med stöd av lag (till exempel myndigheters föreskrifter).

Det är svårt att avgöra var gränsen går mellan samtycke och allmänt intresse. Enligt Integritetsskyddsmyndigheten kan du använda allmänt intresse vid event för att marknadsföra din kommun. Det är viktigt att bilden är neutral, det vill säga inte är kränkande eller pinsam för den enskilde.

Nej, för inköpta bilder är modellavtal bättre.

Om bilden är köpt direkt av en modell ska ett modellavtal upprättas. SKR har tagit fram en mall.

Om bilden är köpt av en bildbyrå ska ett avtal upprättas mellan kommunen/regionen och bildbyrån. Bildbyrån ansvarar för att modellavtal finns upprättat mellan dem och modellen.

Samtycke och modellavtal (mall, vägledning)

Rätten att bli glömd innehåller så många undantag för myndigheter att det nästan går att säga att den inte gäller myndigheter, som ju även har arkivlagen att ta hänsyn till.

Modellavtalen i sig behöver inte vara begränsade till ett visst antal år. Men i GDPR gäller alltid som princip att uppgifterna inte ska sparas längre än vad som är nödvändigt med hänsyn till det ändamål som gäller när uppgifterna samlas in.

När en personuppgiftsansvarig samlar in uppgifter direkt från den registrerade så ska denne alltid informera om behandlingen enligt artikel 13. Det innebär bland annat att ”… den period under vilken uppgifterna kommer att lagras eller om detta inte är möjligt, de kriterier som används för att fastställa denna period” alltid ska anges.

När modellen får betalt för att bilden tas. Modellen går med på att bilden får användas för publicering på de sätt och i de kanaler som anges i modellavtalet. Det är det som ersättningen avser.

När det inte utgår någon ersättning så är det inte ett avtal utan då handlar det om samtycke enligt GDPR.

När bilden används enbart i grundlagsskyddade medier (exempelvis publicering i en bok eller tidning som utges) så faller hela hanteringen under undantaget som gäller grundlagsskyddade medier. Se art 1 kap. 7 § i dataskyddslagen.

Samtycke och modellavtal (mall, vägledning)

Ja.

Publicera bilder, filmer och ljud på internet, Integritetsskyddsmyndigheten

Personuppgiftshantering gäller om bilden, filmen, texten eller ljudet innehåller personuppgifter.

GDPR har vissa generella undantag för tryckfrihet och yttrandefriheten med stöd av artikel 85 i förordningen. Framställning och publicering på papper av en personaltidning omfattas av det undantaget utifrån GDPR och samtycke behövs inte.

De anställda behöver normalt inte samtycka till att få en personaltidning – det får ses som en del av anställningen. Om personuppgifterna som lämnas till tryckeriet omfattar hemadresser så ska det finnas ett biträdesavtal mellan er och tryckeriet. Avtalet ska innehålla tystnadspliktsbestämmelser för tryckeriets medarbetare.

Nej, ett samtycke behöver inte alltid vara skriftligt men det måste finnas dokumenterat i verksamheten, till exempel antecknat i ett ärende som är sökbart i ett ärendehanteringssystem.

Nej, men det måste vara avgränsat för ett eller flera specifika ändamål.

I detta exempel bör publiceringen omfattas av undantaget för tryckfrihet och yttrandefrihet, det vill säga det omfattas inte dataskyddsförordningen.

Inte hur som helst. För att en publicering på myndighetens webbplats ska falla under något undantag från GDPR krävs ett frivilligt utgivningsbevis. Det finns nackdelar med utgivningsbevis och Integritetsskyddsmyndigheten har ifrågasatt om det är lagligt att myndigheter gör så. Men det finns möjlighet för en myndighet att skaffa frivilligt utgivningsbevis hos Myndigheten för radio, tv och media, MPRT.

Notera att utgivningsbevis för tidning och utgivningsbevis för databas är två olika saker, och vill man ha utgivningsbevis för båda krävs två ansökningar.

Utgivningsbevis, MPRT

Nej.

Det är oklart om myndigheter har möjlighet att använda frivilligt utgivningsbevis för en webbplats eller del därav. Men det förekommer att kommuner ansöker om utgivningsbevis hos Myndigheten för radio, tv och media, MPRT.

Det är också oklart om myndigheter kan åberopa undantag från GDPR vid behandling för så kallat journalistiskt ändamål när det gäller publicering av artiklar och redaktionellt material på en webbplats.

Har man inte frivilligt utgivningsbevis så rekommenderar SKR samtycke som huvudregel.