Tech Blog

Behandling av personuppgifter i ostrukturerat material

Datainspektionen har svarat på några vanliga frågor kring hantering av personuppgifter i ostrukturerat material. Den första frågan är hur personuppgifter ska hanteras gällande e-post och den andra frågan handlar om vad som gäller när företag, organisationer samt myndigheter publicerar mingelbilder från event på sin webbplats för att informera om sin verksamhet. I samma kategori har Datainspektionen även besvarat vad som gäller när arbetsgivare på sin webbplats publicerar bilder på sina anställda. Detta är frågor som är av stor relevans för i princip alla företag, organisationer och myndigheter och anledningen till att ett klargörande för många är nödvändigt är att missbruksregeln som idag finns i personuppgiftslagen försvinner när dataskyddsförordningen träder i kraft den 25 maj 2018.

Personuppgifter i e-post

All information som i ett e-post meddelande kan kopplas till en enskild person är personuppgifter. Enbart e-postadressen i sig är i oftast en personuppgift, vilket betyder att man vid e-post i princip alltid behandlar personuppgifter. Denna personuppgiftsbehandling måste därför uppfylla alla krav i dataskyddsförordningen och samma bedömningar som vid annan behandling av personuppgifter måste ske vid behandling av personuppgifter i e-post.

För att behandla personuppgifter i e-post måste verksamheten bland annat ha en rättslig grund för att behandla personuppgifterna. Med resonemanget att företag och privata organisationer i normala fall behöver ta hand om inkommande e-post kan behandlingen av inkommande e-post ske med stöd av en intresseavvägning. Rättslig grund för den fortsatta behandlingen behöver också bestämmas. Myndigheter kan i normala fall använda sig av ett allmänt intresse som rättslig grund för behandlingen eftersom e-post som inkommer till en myndighet oftast blir en allmän handling som en myndighet ska bevara enligt arkivlagen.

Enligt Datainspektionen bör e-postmeddelanden inte förvaras i e-posten utan flyttas till andra system, till exempel ett ärendehanteringssystem eller ett kundregister, och e-postmeddelandet bör därefter raderas.

Behandling av känsliga eller integritetskänsliga personuppgifter via e-post ska enligt Datainspektionen undvikas. Om det inte går att undvika denna behandling ska man använda sig av krypterad e-post.

En sista viktig del som Datainspektionen tar upp är att när någon skickar e-post till en verksamhet är utgångspunkten att informationskraven i dataskyddsförordningen måste uppfyllas gentemot denna person. Även de personer som omnämns i ett e-postmeddelande måste i vissa fall informeras om att verksamheten behandlar personuppgifter om hen. I dessa fall får man göra en bedömning i varje enskilt fall och bedöma om arbetsinsatsen för att få tag i personen och ge information står i proportion till vikten av att personen informeras. Datainspektionen anser att vid sedvanliga personuppgifter av okänslig natur är det i vanliga fall oproportionerligt att kräva att den tredje personen informeras. Utgångsläget ska alltså vara att informera alla som kontaktar verksamheten samt överväga om även omnämnd tredje person ska informeras särskilt.

Publicering av bilder, filmer och ljud på webbplats

Det råder inget tvivel om att det vid publicering av bilder och filmer på människor alltid är fråga om behandling av personuppgifter. Datainspektionen påpekar dock att all information, såsom ljud med en persons röst och teckningar som avbildar människor kan vara en personuppgift.

Datainspektionen har sedan fördjupat sig mer i frågan rörande mingelbilder från ett event och om dessa får publiceras på webbplatsen för att informera om verksamheten. För att få behandla personuppgifterna måste man även i detta fall uppfylla dataskyddsförordningen och man måste således finna en rättslig grund för behandlingen. Datainspektionen råder att man inte använder sig av samtycke i detta fall utan att man i stället hittar en annan rättslig grund. För företag och privata organisationer kan en intresseavvägning användas som rättslig grund och därmed tillåta publiceringen. Detta uttalande är principiellt intressant mot bakgrund av Datainspektionens tidigare uttalanden i frågan. Besökarna på eventet måste informeras om att bilderna kan komma att användas med syfte att informera om verksamheten. Det ska även finnas möjlighet att invända mot behandlingen och information med kontaktuppgifter ska lämnas för att den registrerade ska kunna utöva sina rättigheter enligt dataskyddsförordningen.

Vad gäller myndigheter kan den rättsliga grunden vara att man utför en uppgift av allmänt intresse. Grunden för detta finns i myndighetsförordningen där det framgår att det är myndigheters uppgift att tillhandahålla information om sin verksamhet.

Den andra frågan som Datainspektionen har besvarat gällande bilder är vad som gäller avseende anställdas bilder som publiceras på verksamhetens webbplats. Inte heller i denna situation rekommenderar Datainspektionen att samtycke används som rättslig grund. Anledningen är att man som anställd ofta är i en beroendeställning till arbetsgivaren, vilket leder till att det kan vara svårt att visa att samtycket är frivilligt. Datainspektionen påpekar att för anställda med kundrelaterade arbetsuppgifter kan en arbetsgivares intresse väga tyngre än den anställdes intresse av skydd och därmed ge stöd för att på arbetsgivarens webbplats exponera bilder på sådana anställda. I dessa fall kan därför behandlingen grunda sig på en intresseavvägning. Möjligheten att publicera bilder på anställda får således bedömas i varje enskilt fall.

Datainspektionen konstaterar att det för myndigheter finns utrymme för att under vissa anställningsformer, såsom exempelvis generaldirektör, presskontakt och andra anställda i publika roller, publicera bilder på anställda för att uppfylla en uppgift av allmänt intresse i enlighet med myndighetsförordningen. När det kommer till enskilda handläggare hos myndigheten påpekar Datainspektionen att man sannolikt inte kan åberopa den rättsliga grunden. En myndighet kan inte heller använda sig av en intresseavvägning när den fullgör sina uppgifter.

Det är välkommet att Datainspektionen redovisar sin syn på dessa i praktiken vanliga frågeställningar. Alla frågor kring behandling av ostrukturerat material är dock inte klargjorda och vi ser fram emot ytterligare klargöranden.