Expertfrågan – här är svaret!

Kunde du lösa problemet i månadens expertfråga? Här är svaret!

     

den 21 maj 2019

Varje månad publicerar vi #expertfrågan – en klurig frågeställning som följer våra olika teman här på Tholin & Larsson. I maj är det GDPR som är i fokus – i samband med att den "nya" dataskyddsförordningen nu har hunnit fylla ett år!

Fråga

Dags för sommarfest! Festkommittén på företaget planerar kvällen, där det ska serveras både barbecue och tillhörande dryck.

Festkommittén har begärt in svar från alla anställda om de vill delta eller inte, samt om de vill äta grillat kött och om de önskar alkoholfritt alternativ.

Festkommittén vill även fota under kvällen för att lägga ut bilder på företagets hemsida. "Det är ju bra att alla ser hur kul vi har det här, då blir det lättare att locka nya medarbetare!" tycker ledningen. De anställda ska därför i förväg ange om man inte vill bli fotograferad under festen.

En medarbetare hör av sig och säger att hen inte vill ange i förväg om hen vill ha alkoholfritt alternativ. Hen undrar också vilka som kommer att få se deltagarlistan med de efterfrågade uppgifterna? En annan medarbetare vill verkligen inte vara med på några festbilder, och har hört att man enligt GDPR måste lämna samtycke för att ha sin bild på hemsidan.

Nu ställer det till i planeringen! Vad gäller egentligen?

Svar

Samla in personuppgifter
Insamlandet av anställdas önskemål om mat och dryck är en behandling av personuppgifter som företaget måste ha stöd för enligt GDPR. Företaget kan genom en intresseavvägning behandla uppgifterna så länge företaget har ett starkt intresse som motiverar behandlingen – i detta fall att kunna servera sin personal den mat och dryck de vill ha vid festen. En bedömning ska alltid göras i varje enskilt fall och ifall en anställd, som i frågan ovan, inte vill lämna dessa uppgifter kan inte företaget tvinga personen att göra det.

Dessutom gäller att även om de flesta anställda inte motsätter sig att lämna uppgifterna så behöver företaget ställa sig frågan om företaget verkligen behöver behandla dessa uppgifter? I fallet ovan kan företaget exempelvis servera mat och dryck av olika slag på festen utan att detta behöver anges i förväg, eller ta in dessa uppgifter helt anonymt (uppgifterna ska då inte kunna kopplas till en enskild anställd). Deltagarlistan med de efterfrågade uppgifterna ska heller inte spridas utan bara de som faktiskt behöver uppgifterna ska ha tillgång till dessa, exempelvis de som ansvarar för inköpen i detta fall.

Bilder från festen
När det kommer till bilderna från festen kan företaget inte stödja sig på de anställdas samtycke för att publicera bilderna på hemsidan. Det tar tid att samla in samtycke från alla personer som syns på bild, dessutom är det svårt att avgöra om en anställds samtycke verkligen har lämnats frivilligt (det finns risk för att personer känner sig tvingade att säga ja när företaget frågar). Istället ska företaget stödja sig på en intresseavvägning som rättslig grund och en bedömning ska därmed göras i det enskilda fallet.

Det krävs att företaget har ett starkt intresse som motiverar publiceringen av bilderna på hemsidan och som väger tyngre än de anställdas intresse av att inte behöva visas på bild. Ett exempel på detta kan vara profilbilder på hemsidan över anställda och deras kundorienterade arbetsuppgifter i branscher där den personliga kontakten är mycket viktigt. Publiceringen av bilder från en fest med syftet att visa upp hur roligt det är på arbetsplatsen, uppfyller inte kraven enligt GDPR och företaget har därför inte rätt att publicera dessa bilder på sin hemsida.

Sammanfattning
Tittar vi på de olika delarna i svaret betyder det alltså att en anställd, som i frågan ovan, har rätt att neka till att i förväg ange hens önskemål om dryck. Och företaget kan inte tvinga personen att göra det. Deltagarlistan med uppgifterna får inte ses av alla på företaget utan bara de som faktiskt behöver se den. Och företaget har inte rätt att publicera bilder på sina anställda från festen på sin hemsida!