Webinar: Nyheter på dataskyddsområdet

Webinar Q/A

Skall man tolka den danska DPA-mallen som en möjlighet och inte ett kommande krav från DI?

Det stämmer att de danska standardklausulerna för personuppgiftsbiträdesavtal ska tolkas som en möjlighet och inte ett krav. Klausulerna finns till för att underlätta för tecknandet av biträdesavtal, men det är upp till varje verksamhet att själv bestämma om man vill använda sig av klausulerna eller teckna egna biträdesavtal. Standardklausulerna är således enbart att betrakta som ett hjälpmedel för att uppfylla kraven på innehållet i ett personuppgiftsbiträdesavtal enligt GDPR.

Läs mer om standardklausulerna och tillämpning i vårt blogginlägg här.

Krävs det att personen identifieras eller enbart att denne är identifierbar för att GDPR ska vara tillämpligt vid kamerabevakning

Om du filmar en person som går att identifiera med hjälp av bilderna från filmen så behandlar du personuppgifter. Vid behandling av personuppgifter måste du följa GDPR. En person är identifierbar om denne utan större osäkerhet kan särskiljas från andra personer. Så är fallet om t.ex. personens ansikte syns på filmen, men en person kan också vara identifierbar utifrån andra kännetecken så som klädsel, kroppsrörelser eller kroppkonstruktion. För att GDPR ska vara tillämpligt krävs således inte att personen identifieras, men att det är möjligt att faktiskt identifiera personen.

Noterbart är att en bevakningskamera förutom att filma en identifierbar person också kan fånga en personuppgift i bild. Detta skulle kunna vara registreringsnumret på en bil som går att härleda till en person. Även detta är att betrakta som personuppgiftsbehandling och kräver tillämpning av GDPR.

Hur ser ni på ”72-timmarsregeln” för att spara kamerabevakningsmaterial när ändamålet t.ex. är förebygga och utreda* *brott i butik. Sällan man hinner upptäcka t.ex. bedrägeriförsök på 72 timmar. Men det kanske berättigar längre lagring? 

Film och bild från en bevakningskamera får sparas så länge det behövs för det ändamål som kamerabevakningen bedrivs för. Ändamålet för bevakningen styr hur lång tid detta är, men huvudregeln är att material ska sparas så kort tid som möjligt. I den nya vägledningen konstateras att 72 timmar bör räcka i många fall och att en längre lagringstid än så gör att intresseavvägningen blir svårare och att det krävs en tydlig motivering till varför materialet sparas i dessa fall. Det är upp till den personuppgiftsansvariga att göra en bedömning av hur länge materialet får sparas samt visa att lagringstiderna följer de grundläggande principerna i GDPR om nödvändighet och proportionalitet.

Innebär EDPB:s riktlinjer att ett anställningsavtal som innehåller villkor om personuppgiftsbehandling inte kan vara ett frivilligt samtycke?

Ett samtycke kan endast i undantagsfall användas som laglig grund för att hantera personuppgifter i anställningsförhållanden. Detta beror på att ett samtycke måste vara helt frivilligt. Med frivilligt menas att den registrerade ska ha ett genuint fritt val och får t.ex. inte riskera att drabbas av negativa konsekvenser om denne inte lämnat sitt samtycke. Vidare måste maktförhållandet vara jämlikt. Förhållandet mellan arbetsgivare och arbetstagare är inte att betrakta som jämlikt och arbetsgivaren kan därmed inte inhämta ett giltigt samtycke från arbetstagaren.

Arbetsgivaren kan ofta basera sin personuppgiftsbehandling på en annan laglig grund, t.ex. för att fullfölja rättsliga skyldigheter, skyldigheter enligt anställningsavtalet eller med stöd av en intresseavvägning. Det kan handla om lönehantering, krav enligt arbetsrätten, rehabilitering m.m.