GDPR för webbredaktörer

Nu när den nya dataskyddsförordningen (GDPR) har trätt i kraft i Sverige och övriga EU är det några saker som det är bra att tänka på som webbredaktör.

Varför GDPR?
Poängen med GDPR är att alla EU-medborgare ska få stärkt integritetsskydd och betydligt större kontroll över var och hur deras personuppgifter används på nätet. Det innebär att vi som redaktörer har ansvar för att hantera bilder, namn, kontaktuppgifter och andra typer av personuppgifter med tydlighet och respekt. När vi sparar personuppgifter ska vi tala om varför vi gör det, hur vi har tänkt använda dem – och hur enskilda kan kontakta oss för att få sina uppgifter borttagna.

Vad är personuppgifter?
All information som direkt eller indirekt kan knytas till en nu levande fysisk person räknas som personuppgifter, enligt GDPR. Inte bara namn och kontaktuppgifter, utan även foton, filmer, teckningar med mera kan vara personuppgifter.

Vem har ansvar för personuppgifterna?
Förbundet har det övergripande ansvaret för tekniskt underhåll och funktionalitetsutveckling av HRF.se med tillhörande undersidor. Men det är respektive distrikt och förening (ytterst styrelserna) som ansvarar för de personuppgifter ni publicerar på webben, i form av namn, kontaktuppgifter, bilder med mera. Förbundets övergripande ansvar innebär emellertid att om en förening eller ett distrikt bryter mot GDPR har förbundet rätt att radera eller korrigera felaktigheten på webben utan dröjsmål.

Får vi publicera namn på webben?
Ja, absolut. Att lista namnen på de som sitter i styrelsen är till exempel helt okej. Men det är en bra regel att stämma av med berörda innan ni lägger ut kontaktuppgifter, som e-post, telefonnummer med mera, så att ni är överens om vad som läggs ut.

Att skriva om förtroendevalda och medlemmar som deltar i föreningens/distriktets aktiviteter är också fullt rimligt – det faller inom det som kallas ”intresseavvägning”. Men om ni publicerar en text där ni berättar om någon enskild ska ni fråga den personen om lov. Till exempel: Innan ni skriver på webben att ”Anna Jansson” var en av många som kom och testade hörseln på Hörselskadades Dag, fråga henne först – be om så kallat ”samtycke”. Det skulle ni säkert ha gjort även utan GDPR, eller hur?

Får vi publicera bilder på webben?
Ja, det är fortfarande helt i sin ordning att publicera bilder på personer från till exempel ett evenemang som ni har arrangerat, eller lägga upp personuppgifter som namn eller e-postadress på er webbplats. Men villkoren för publicering har skärpts och det behöver ni tänka på. Här är några råd:

1. Var tydliga med varför ni tar bilder vid ett möte, arrangemang eller annat sammanhang, samt hur ni har tänkt använda dem. Tala till exempel om att ni fotograferar för att lägga ut på webben och om ni har tänkt spara dem i ert bildarkiv. De som inte vill vara med på bild ska slippa det.
2. Be om lov innan ni publicerar bilder på personer som är väl synliga på en bild och kan identifieras. Om personer skymtar i bakgrunden av bilden behöver ni inte be om lov, men se till att det tydligt anges vem som kan kontaktas om någon vill att en bild tas bort.
3. Titta gärna igenom de bilder som ni redan har publicerat på er webb – ta ställning till om de är aktuella/relevanta och rensa bort bilder som inte är viktiga. Om de bilder ni vill ha kvar föreställer personer, prata gärna med berörda.

När måste vi ta bort en bild eller annan personuppgift?
Om en person hör av sig till er och ber att få sina uppgifter borttagna måste ni som förening eller distrikt respektera det. Uppgiften ska tas bort snarast möjligt, men det är oklart vad det innebär.

Vem ska kontaktas om personuppgifter?
Det är föreningens/distriktets webbredaktör som ska kontaktas när det finns synpunkter på personuppgifter på webben. Det är därför viktigt att varje förening/distrikt som har en webb anger vem som är webbredaktör på sin Kontakt-sida samt hur hen kan kontaktas.

Om det är någon annan som sköter sociala medier, ska även den personens kontaktuppgifter finnas på Kontakt-sidan.

Vad gäller för sociala medier?
I sociala medier gäller i stort sett samma som för webben.

Publicera er integritetspolicy på webben!
Förbundet har gjort utskick till distrikt och föreningar med vägledning angående GDPR-anpassningar. En av de viktiga punkterna där är att anta en integritetspolicy, snarast möjligt – gärna utifrån de mallar för integritetspolicys som förbundet har skickat ut.

När förenings-/distriktsstyrelsen har antagit en integritetspolicy bör ni snarast publicera policyn på er webb, på väl synlig plats.

Frågor?
Vid frågor kring GDPR och webb/sociala medier, kontakta: webmaster@hrf.se, så hjälper vi gärna till!