Vill du fotografera på en firmafest? Då är det bäst att se upp. Det är nämligen olagligt att fotografera på firmafester utan att först ha genomgått det obligatoriska GDPR-förfarandet, varnar jurister på personuppgiftskonsulten GDPR Hero.
Förfarandet innebär bland annat att företaget som anordnar festen måste upprätta en "dataskyddspolicy" som informerar de fotograferade om deras rättigheter, att det måste överväga en så kallad rättslig grund för varje fotografering och implementera en "rätt att bli glömd", det vill säga borttagen, från varje fotografi.
Dessutom måste företaget upprätta en säkerhetsapparat för att skydda fotografierna från obehöriga, även om de är tänkta att vara offentliga, samt inhämta bindande personuppgiftsbiträdesavtal med alla leverantörer som hanterar bilderna. Företaget är dessutom skyldigt att göra en omfattande prövning av syftet med fotograferingen.
Men om deltagarna faktiskt vill bli fotograferade då? Det hjälper inte.
Förbudet gäller nämligen även om de som deltar på festen godkänner fotografering, enligt juristen Josefin Karlström på Sällberg & Co, en juristfirma som specialiserar sig på GDPR. Enligt GDPR kan anställda nämligen inte lämna samtycke till personuppgiftsbehandling på det företag de jobbar på, även om de är vuxna, eftersom EU anser att anställda är "i beroendeställning" till sin arbetsgivare och räknas i dessa sammanhang därför som omyndiga i förordningens mening.
"Anledningen till detta är dels för att det är svårt att inhämta samtycke från alla personer på evenemanget, dels för att arbetstagaren kan anses vara i en beroendeställning till arbetsgivaren och att samtycket därför inte kan lämnas frivilligt", skriver Karlström på GDPR Hero.
Advokaten Katarina Ladenfors på den affärsjuridiska byrån Marlaw är av en liknande uppfattning.
"Datainspektionen anser att det oftast inte är lämpligt att stödja bildpublicering av anställda på grunden samtycke", skriver hon i en text på branschorganisationen Sveriges Kommunikatörers hemsida.
Den som bryter mot GDPR riskerar böter på 200 miljoner kronor per överträdelse. Den som fotograferas utan att det nödvändiga GDPR-förfarandet har genomgåtts har även rätt till skadestånd, som ofta blir dyrare än de böter som faktiskt döms ut.
