Hejsan, jag undrar vad som gäller när jag ska posta bilder i sociala medier enligt GDPR. Jag ska starta ett företag och kommer att behandla olika personuppgifter. Bland annat kommer jag posta bilder på sociala medier där personer syns, ha ett register med mina kunder och samarbetspartners. Min fråga är hur jag bör tänka och om det är några särskilda avtal jag behöver?
Posta bilder i sociala medier enligt GPDR
Svar:
Hej och tack för din fråga. Roligt att du ska starta företag och du gör rätt i att ta reda på sådant. Om du ska posta bilder på sociala medier behöver du enligt GDPR samtycke från personerna, för att få publicera dem. Samtycket ska helst bli lämnat skriftligt så att du kan bevisa att du har fått in samtycket. Om någon vill att du tar bort bilden, måste du göra det, eftersom de har rätt att återkalla sitt samtycke och rätt att begära att bli bortglömd.
GDPR avtal och dokument
Alla företag behöver en dataskyddspolicy, interna rutiner, personuppgiftsbiträdesavtal och en registerförteckning. I avtalen reglerar man bland annat hur personuppgifterna får bli behandlade. Det framgår även information om hur länge och vart de blir lagrade. Dessutom ska det framgå vem som är ansvarig för uppgifterna. Det är viktigt att även skriva ändamålet med behandlingen och vad företaget ska göra vid en personuppgiftsincident.
Tänk på att skydda din dator och telefon med lösenord. Detta gäller i och med att det är vanligt att personuppgifter såsom namn, telefonnummer och e-postadress, som är tydliga personuppgifter blir sparade där. Det kan vara bra att ha olika lösenord på olika plattformar, för att skydda dig mot intrång.
Gallring måste ske av de uppgifter som inte längre är nödvändiga att spara. Det innebär att du ska rensa personuppgifter som inte längre är nödvändiga att lagra. Exempelvis kan du gallra uppgifter från bland annat din mejl och telefon.
Dataintrång eller att bli bestulen på sin mobiltelefon kan hända alla. I företagets interna rutiner bör det framgå information om vilka åtgärder som har vidtagits för att förhindra sådana incidenter. Det bör även framgå samt hur den personuppgiftsansvarige och medarbetare ska agera om det inträffar. Exempelvis kan det stå att mobiltelefonen ska bli spärrad omedelbart vid stöld eller förlust. Det är även positivt om samtliga system är lösenordsskyddade och genomgår lösenordsbyten minst årligen samt vid behov. I vissa fall, ska incidenter även bli anmälda till Integritetsskyddsmyndigheten inom 72 timmar enligt GDPR.
