Publicerad: 12 mars 2018

GDPR-checklista för kommunikatörer

En checklista över vad du bör tänka på inför den nya dataskyddsförordningen som träder i kraft den 25 maj 2018.

1. Identifiera om GDPR är tillämplig

Innebär den kommunikationsåtgärd ni avser att ni måste vidta en behandling av personuppgifter?

  • Tänk på att personuppgiftsbegreppet är brett. Det innebär att allt från namn, adress, personnummer och fotografier till IP-nummer, cookies och elektroniska identiteter normalt är personuppgifter. Det avgörande är huruvida uppgiften, ensam eller i kombination med andra uppgifter, kan knytas till en fysisk identifierbar levande person.
  • Även begreppet behandling är brett och innebär att alla former av åtgärder med personuppgifter eller kombination av åtgärder utgör behandling. Exempel på behandling är insamling, registrering, organisering, strukturering, lagring, bearbetning, framtagning, läsning, spridning, justering, radering och förstöring. Det spelar ingen roll om behandlingen sker automatiserat eller manuellt.
  • Vilken typ av personuppgifter rör det sig om? Om det är fråga om känsliga uppgifter som till exempel avslöjar etniskt ursprung, politiska åsikter, uppgifter om hälsa eller sexualliv eller uppgifter om brottsliga lagöverträdelser ställs högre krav.

Känsliga personuppgifter, Datainspektionen

  • Vad har ni för ändamål med behandlingen av personuppgifter?
  • Vilken laglig grund stödjer ni er behandling på?
  1. Samtycke
  2. Avtal
  3. Rättslig förpliktelse
  4. Skydd för grundläggande intresse
  5. Uppgift av allmänt intresse och myndighetsutövning
  6. Efter en intresseavvägning (tänk på att det finns en begränsning för myndigheter att använda denna grund).
  • Kom ihåg att ni måste informera de registrerade om personuppgiftsbehandlingen. SKL:s informationstextmall kan ge vägledning om vilken information som kan komma att krävas.
  • Skapa rutiner för personuppgiftssäkerhet.

Säkerhet för personuppgifter, Datainspektionen

  • Skapa rutiner för gallring. Personuppgifter som inte längre är relevanta för ändamålet ska gallras.

Lagringsminimering, Datainspektionen

SKL:s samtyckestextmall kan ge vägledning i fråga om samtycken och dess utformning

2. Bildpublicering

När ni publicerar en bild innehållande personuppgifter behandlar ni personuppgifter. Tänk på följande:

  • Får ni publicera bilden? Kontrollera om ni har ett samtycke eller modellavtal som tillåter publicering. SKL:s modellavtalsmall kan tjäna som vägledning om ni behöver upprätta ett modellavtal.
  • Avbildas underåriga på de bilder ni avser att publicera? Om ni avser att använda ett modellavtal bör ni tänka på att underåriga det vill säga personer under 18 år, som huvudregel inte kan ingå avtal. Om ni avser att använda samtycke som grund bör ni tänka på att den som ger sitt samtycke ska ha förmåga att förstå innebörden av ett lämnat samtycke. En sådan bedömning måste göras i varje enskilt fall. Tänk på att den lagstadgade gränsen om 13 år endast kan användas i de fall det är fråga om ”informationssamhällets tjänster”.

Regeringens proposition om ny dataskyddslag

Ni måste även beakta följande lagstiftning vid bildpublicering

Upphovsrätt

  • För att använda upphovsrättsskyddat material måste ni ha upphovsmannens godkännande. Säkerställ att ni har nödvändiga avtal med upphovsmän. Säkerställ även att fotografen i ett avtal har upplåtit/överlåtit rätten att använda materialet i den utsträckning som ni avser att använda materialet.
  • Tänk på att ni även måste namnge upphovsmannen i anslutning till det upphovsrättsskyddade materialet såvida upphovsmannen inte uttryckligen frånsagt sig denna rättighet.

 Marknadsrätt

  • Är den kommunikation ni vill gå ut med kommersiell eller redaktionell? Om kommunikationen har ett kommersiellt syfte och ett rent kommersiellt innehåll gäller bland annat marknadsföringslagen (2008:486) (”MFL”) och lagen om namn och bild i reklam (1978:800). Politiska annonser, samhällsinformation, information som är ett inlägg i aktuell samhällsdebatt eller opinionsbildande annonser/information omfattas inte av MFL, utan faller in under tryck- och yttrandefrihetens område. Bara för att ni är offentlig verksamhet innebär det inte att ni aldrig omfattas av MFL - kommunikation från offentlig verksamhet kan mycket väl tänkas vara kommersiell och därmed omfattas av marknadsrättsliga regler, något som även påpekas i Högsta domstolens dom den 4 april 2017, i mål nr Ö 4555-15.

Om ni kommer fram till att det är fråga om kommersiell kommunikation måste ni säkerställa att mottagarna förstår att det är fråga om reklam (9 § MFL) – särskilt i sociala medier. Tänk på att omvänd bevisbörda råder inom marknadsrätten, dvs. det är ni som ska kunna visa att er kommersiella kommunikation är lagenlig.

  • Enligt lagen (1978:800) om namn och bild i reklam krävs det att ni har ett tillstånd från den avbildade personen att avbilda denne i reklam. Ett sådant tillstånd bör inhämtas genom ett avtal, till exempel genom att ni använder er av SKL:s modellavtalsmall.
  • Om ni vill anlita influencers för marknadsföring ska ert samarbete regleras i ett avtal. I avtalet bör det framgå vad influencern ska tänka på vad gäller marknadsföring (till exempelt följa marknadsrättslig reglering), upphovsrätt med mera. Konsumentverket har tagit fram en vägledning avseende samarbeten med influencers i sociala medier.

Vägledning kring marknadsföring, Konsumentverket

3. Kommunikation i sociala medier

  • Sociala medier uppställer ofta egna regler och omfattande användarvillkor. Användarvillkoren innebär ofta att det material ni publicerar på medier också överlåts till det sociala mediet. Ni måste därför säkerställa att ni har rätt att överlåta sådana licenser gentemot upphovsmännen.
  • Ni är ansvariga för sådant som publiceras i era sociala kanaler om ni kan påverka innehållet till exempel genom att stänga av kommentarsfältet så som på Facebook, Instagram, YouTube, bloggar (med mera) – till skillnad från till exempel Twitter där ni inte kan påverka vad andra skriver. E-delegationen har tagit fram riktlinjer för myndigheters användning av sociala medier.

Riktlinjer för sociala medier, E-delegationen

  • Ge information om er personuppgiftsbehandling i sociala medier, till exempel genom att förklara att publicering av kommentarer innebär att den som kommenterar publicerar sina personuppgifter samt att publicerade inlägg blir en allmän handling hos myndigheten. Informera även om ändamålen med behandlingen samt hur länge personuppgifterna behandlas.
  • Informera även om ändamålen med kommentarfunktionen och vilka typer av kommentarer ni raderar. Uppmana även användarna att anmäla kränkande kommentarer till er.
  • Enligt lagen om ansvar för elektroniska anslagstavlor (1998:12) har ni även en skyldighet att ta bort vissa meddelanden som andra har postat på en elektronisk anslagstavla som ni tillhandahåller, till exempel ett kommentarsfält på en blogg eller på en Facebooksida. E-delegationen har tagit fram riktlinjer för myndigheters användning av sociala medier.

Riktlinjer för sociala medier, E-delegationen

  • Fundera över vilka interna säkerhetsrutiner ni har. Vem ansvarar för att ha tillsyn över medierna? Har ni några rutiner för att ta emot anmälningar om kränkande kommentarer?
  • Ni får använda andras varumärken i era kanaler. Dock ställer varumärkeslagen (2010:1877) krav på hur en sådan användning får ske. Användningen ska alltid ske på ett neutralt sätt.
  • Glöm inte bort att ni som offentlig verksamhet även måste beakta bestämmelser i bland annat förvaltningslagen (1986:223), arkivlagen (1990:782), tryckfrihetsförordningen (1949:105) och offentlighet- och sekretesslagen (2009:400). Det innebär till exempel att ni måste ha rutiner för arkivering av allmänna handlingar och vara uppmärksamma på om sekretessbelagd information läggs ut i era sociala kanaler.

Riktlinjer för sociala medier, E-delegationen

Läs vidare

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot