GDPR – ett hjälpmedel vid hantering av personuppgifter
Dataskyddsförordningen, GDPR, syftar till att skydda enskildas grundläggande rättigheter och friheter, särskilt rätten till skydd av personuppgifter. Vad innebär det i ett museums verksamhet?
GDPR var temat för vårens fjärde samtal i Riksantikvarieämbetets uppskattade webbinarieserie om digitalt kulturarv.
Anna Hellgren Westerlund och Caroline Freyling från Integritetsskyddsmyndigheten (IMY) samt Karolina Hedström, fotoantikvarie på Stockholms Länsmuseum och Susanne Nickel, föremålsantikvarie på Eskilstuna Stadsmuseum, samtalade tillsammans med Riksantikvarieämbetets Lisa Berg om vad man ska tänka på i GDPR-sammanhang.
Verksamheter måste följa dataskyddsreglerna
Alla verksamheter måste följa dataskyddsreglerna vid behandling av personuppgifter, oavsett om det är en offentlig myndighet, ett privat företag eller en förening. Det innebär bland annat att man behöver följa de grundläggande principerna och informera de registrerade om hur man hanterar deras personuppgifter.
Vikten av en rättslig grund
Anna Hellgren Westerlund från Integritetsskyddsmyndigheten, som är en tillsynsmyndighet, förklarar:
– Varje behandling, till exempel insamling och publicering, behöver ha en rättslig grund, det vill säga ha ett legalt stöd. Den personuppgiftsansvariga (PUA), som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till, måste se till att det sker i enlighet med dataskyddsförordningen.
Det finns sex olika rättsliga grunder, varav vissa är aktuella för privata verksamheter och andra för offentliga. De rättsliga grunderna är samtycke, avtal med den registrerade, rättslig förpliktelse, skydda grundläggande intresse, myndighetsutövning och uppgift av allmänt intresse samt intresseavvägning.
Om man använder sig av grunderna om myndighetsutövning och uppgift av allmänt intresse eller rättslig förpliktelse så krävs det kompletterande lagstiftning. Ett museum tar ofta en stor mängd bilder, på föremål men också på verksamhet och invigningar.
– Hur kan vi hantera bilder med människor på till exempel en vernissage? Kan vi använda bilderna i vår marknadsföring? undrar Susanne Nickel på Eskilstuna Stadsmuseum och fortsätter:
– Vi har stora samlingar från yrkesfotografer, däribland bilder som även varit publicerade i media tidigare. Får vi publicera dessa bilder på människor som fortfarande är i livet?
Hur man får göra med bilderna är beroende på vilken rättslig grund man stödjer sig på.
– Det är till exempel viktigt att veta att ett samtycke kan återkallas och då måste man dra tillbaka dessa bilder. Om behandling av en personuppgift sker med stöd i ett allmänt intresse så kan det betyda att behandlingen ändå får fortgå, till skillnad från om man behandlar personuppgifter baserat på grunden samtycke, svarar Anna Hellgren Westerlund.
Insamling av material i olika format
Karolina Hedström på Stockholms Länsmuseum, som även representerar DOSS, ett nationellt nätverk för yrkesverksamma som arbetar med samtidsdokumentation vid kulturhistoriska museer, samlar in material digitalt, intervjuer med både text och bilder.
– Då informerar vi dem som laddar upp sina bilder om att vi kommer att spara dem i våra arkiv och även tillgängliggöra dem i museets kanaler på olika sätt. Hur detaljerade måste vi vara i informationen som användarna får? frågar hon.
– När man behandlar människors personuppgifter har man en omfattande informationsskyldighet. Vilka rättsliga grunder stödjer man sig på? Vad kommer man att använda bilderna till och hur? säger Anna Hellgren Westerlund.
Känsliga personuppgifter
Känsliga personuppgifter definieras och omfattas av särskilda bestämmelser i dataskyddsförordningen. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. Behandlingen måste, utöver att ha stöd i en rättslig grund, även omfattas av en undantagssituation för att vara tillåten. Ju känsligare personuppgifter man avser att behandla, desto tydligare måste författningsstödet för det uppdraget och den behandlingen vara.
– Det som får många att uppleva GDPR som svårt är att det inte finns några tydliga raka svar som gäller övergripande och generellt, utan att det måste till en prövning i den verksamhet man sitter i. Bedömningen måste göras utifrån just de förutsättningarna och den situationen, betonar Anna Hellgren Westerlund.
Behov av ett dataskyddsombud
En myndighet – och i många fall även organisationer som inte är myndigheter – ska ha ett dataskyddsombud, som man som anställd vänder sig till i första hand när man har frågor om GDPR i sin verksamhet. Dataskyddsombudet har en särskild roll att hjälpa den som är personuppgiftsansvarig.
– Vi uppmuntrar samarbete och stöd mellan museer, som kanske har olika slags verksamheter, men liknande problem och frågeställningar. Om det behövs mer tydliggörande nationell lagstiftning så kanske det är något som man gemensamt kan lyfta, framhåller Caroline Freyling.
När du vill veta mer
- Dataskyddsförordningens syfte och tillämpningsområde | IMY
- Rättslig grund för behandling av personuppgifter | IMY
- Överföring till tredje land | IMY
- Publicera bilder, filmer och ljud på internet | IMY
- Behandling av personuppgifter i arbetslivet | IMY
- Känsliga personuppgifter | IMY
- Utbildningsmaterial – Etikprövningsmyndigheten (etikprovningsmyndigheten.se)
- Personuppgifter som rör lagöverträdelser | IMY
- ”Röda tråden” för tillämpning av GDPR | DIGG
- Grundutbildning GDPR privat sektor (pdf)
- Grundutbildning GDPR offentlig sektor (pdf)
- Är jag ansvarig för det jag publicerar på sociala medier? | IMY
- Kan vi publicera bilder från ett event på våra sociala medier? | IMY
- Information om konsekvensbedömning och förhandssamråd | IMY