Mabooth
BåsetPrisFAQKontakt
/
Boka Nu
Företag6 min läsning

GDPR och fotobås på företagsfesten

Ett fotobås på personalfesten är folkkärt — men någon i HR eller på eventavdelningen brukar fråga: hur funkar det här med GDPR? Kort svar: det går utmärkt att ha fotobås, ni behöver bara tänka igenom några saker i förväg. Här är en praktisk genomgång på vanlig svenska.

Varför det spelar roll

En bild på en identifierbar person är en personuppgift. Det gäller foton från fotobåset lika mycket som gruppbilden i årsredovisningen. Samlar ni dessutom in e-postadresser för att skicka det digitala galleriet är även de personuppgifter. Det betyder att GDPR gäller — men inte att det är krångligt.

Poängen med att ha koll är inte att bocka av en regel, utan att era anställda ska känna sig trygga. Ingen ska behöva undra var bilden på dem hamnar. När ni har tänkt igenom det i förväg blir fotobåset bara det roliga inslag det är tänkt att vara.

Laglig grund: oftast intresseavvägning

För interna eventbilder lutar de flesta arbetsgivare sig mot intresseavvägning (berättigat intresse) som laglig grund. Företaget har ett rimligt intresse av att dokumentera och glädjas åt sin personalfest, och gästerna väljer själva att kliva in i båset. Det gör intresseavvägning till en naturlig grund för just den här situationen.

Samtycke låter enkelt men är faktiskt en sämre grund här — det måste vara helt frivilligt, och i en relation mellan arbetsgivare och anställd är det svårt att visa att ett samtycke är just det. Det viktiga oavsett grund är transparens: berätta att fotobåset finns och hur bilderna används.

Praktisk checklista inför festen

Det mesta är sunt förnuft satt på pränt. Gå igenom listan innan eventet så är ni klara.

  • Informera i förväg — nämn i inbjudan eller på plats att ett fotobås finns och hur bilderna används
  • Sätt upp en liten skylt vid båset: att foton tas, vem som är ansvarig och var galleriet hamnar
  • Låt deltagandet vara frivilligt — ett fotobås är opt-in av naturen, ingen fotas som inte själv kliver in
  • Dela gallerilänken internt, till exempel via intranät eller mejl till dem som var med
  • Lägg inte ut bilder på identifierbara medarbetare externt (LinkedIn, hemsida) utan att fråga dem först
  • Bestäm en gallringstid — hur länge galleriet ligger kvar — och radera bilderna efteråt
  • Klargör rollerna: ni som företag är personuppgiftsansvarig, fotobåsleverantören är personuppgiftsbiträde

Vem ansvarar för vad

Det är ni som företag som bestämmer varför och hur bilderna behandlas — alltså är ni personuppgiftsansvarig. En leverantör som hanterar bilderna åt er, till exempel lagrar galleriet, är personuppgiftsbiträde. Den rollfördelningen bör framgå av avtalet, och för biträdet behövs normalt ett personuppgiftsbiträdesavtal.

I praktiken betyder det att ni har kontrollen. Ni bestämmer hur länge bilderna sparas och när de raderas, och leverantören följer det ni bestämmer.

Så gör Mabooth det enkelt

Bilderna levereras via en privat gallerilänk — inte publicerade någonstans, bara tillgängliga för den ni delar länken med. Ni behåller kontrollen: vill ni att galleriet ska tas bort raderar vi det på begäran.

Vi agerar personuppgiftsbiträde åt er som kund, vilket innebär att vi hanterar bilderna enligt era instruktioner och inte använder dem till något annat. Det gör det enkelt för er att uppfylla er del — ni bestämmer, vi följer.

En viktig brasklapp

Det här är allmän vägledning, inte juridisk rådgivning. Reglerna och tolkningarna av dem kan ändras, och varje verksamhet ser olika ut. Stäm av med ert eget dataskyddsombud eller jurist innan ni landar era rutiner — särskilt om ni har många anställda eller känner er osäkra på den lagliga grunden.

Vanliga frågor

Oftast inte. För interna eventbilder lutar sig de flesta arbetsgivare mot intresseavvägning, inte samtycke — bland annat för att samtycke i en anställningsrelation är svårt att visa vara helt frivilligt. Det viktiga är att ni informerar tydligt om att fotobåset finns och hur bilderna används.

Ni bör bestämma en gallringstid i förväg och radera bilderna när syftet är uppfyllt. Hos oss levereras bilderna via en privat gallerilänk, och vi raderar galleriet på er begäran. Ni behåller kontrollen hela vägen.

Att dela galleriet internt är en sak, att publicera identifierbara medarbetare externt är en annan. Fråga alltid de personer som syns på bilden innan ni lägger ut den på LinkedIn eller hemsidan — det är både artigt och tryggast ur ett dataskyddsperspektiv.

Ni som företag är personuppgiftsansvarig eftersom ni bestämmer varför och hur bilderna behandlas. En leverantör som lagrar galleriet åt er är personuppgiftsbiträde och följer era instruktioner. För biträdet behövs normalt ett personuppgiftsbiträdesavtal.

Ett tryggt fotobås för företagsfesten

Vill ni ha ett fotobås som respekterar era gäster och er dataskyddspolicy? Berätta om ert event så visar vi hur vi håller er i kontroll — och återkommer inom 24 timmar.