Men med synlighed følger ansvar, og persondataforordningen stiller klare krav til, hvordan og hvornår man må dele billeder og videoer af personer, herunder medarbejdere og kunder – men også fx børn og borgere. Så hvad skal du gøre, hvis du vil bruge sociale medier uden at overtræde databeskyttelsesreglerne?
Sociale medier og det juridiske ansvar
Mange tror, at platforme som Facebook, Instagram og LinkedIn blot er værktøjer, som man frit kan benytte til at dele virksomhedens indhold. Men de er også distributionskanaler for store mængder indhold skabt og delt af både private og virksomheder. Derfor er det også et meget komplekst område at forholde sig til, da det afhænger af en lang række faktorer, hvad du må, og hvordan du er stillet.
Flere platforme som fx Meta, der blandt andet ejer Facebook, Instagram og Messenger, skriver selv, at de sammen med den, der uploader noget på en af deres platforme, er fælles dataansvarlig. Det kan diskuteres, om det er helt rigtigt, men som bruger har man reelt ikke noget valg andet end at acceptere.
Det betyder, at I – afhængigt af jeres brug af de forskellige platforme – enten optræder som fælles dataansvarlig med platformen eller som databehandler. Og begge dele kræver en skriftlig aftale.
Dermed har I ansvaret for, at delingen overholder GDPR-reglerne – også selvom det foregår på en tredjepartsplatform, som I ikke selv kontrollerer. Det gælder også, hvis data overføres til lande uden for EU, hvilket data på mange af disse platforme gør.
Husk samtykke ved deling
Hvis du tager billeder eller videoer af medarbejdere eller kunder og deler dem på sociale medier, behandler du personoplysninger. Derfor skal der være et lovligt grundlag, og det afhænger af, hvilken type billede, der offentliggøres.
Er der tale om et såkaldt situationsbillede, der fx primært viser en bygning eller et kontorlandskab – eller tages i forbindelse med en konference, messe eller en event – er det lovlige grundlag jeres legitime interesse i at dele billedet. Formålet er nemlig ikke at afbillede enkeltpersoner.
Ved sådanne billeder, hvor mange mennesker optræder i baggrunden, kan det være tilstrækkeligt at informere personerne på forhånd (fx med skilte) – så længe billedet ikke er krænkende eller fokuserer på enkelte genkendelige personer.
Er der derimod tale om egentlige portrætbilleder af fx medarbejdere eller kunder, kræves der et egentligt samtykke – og det skal altid være frivilligt, informeret og til enhver tid kunne trækkes tilbage. En medarbejder må derfor ikke føle sig presset til at sige ja, og samtykket skal kunne dokumenteres.
Børn, sårbare og x-kolleger
Når det gælder børn eller borgere i sårbare positioner – fx ældre, beboere eller personer med funktionsnedsættelse – er reglerne skærpede. Her skal der som hovedregel gives et eksplicit samtykke fra forældre eller værge, og det skal nøje overvejes, om delingen overhovedet er nødvendig og forsvarlig. For disse grupper gælder et højere niveau af beskyttelse, både etisk og juridisk.
Hvis en medarbejder siger op og beder om at få fjernet et billede, der ligger på jeres sociale medier, skal I som udgangspunkt efterkomme det. Det gælder især, hvis billedet blev lagt op med samtykke, og samtykket nu trækkes tilbage. Derfor bør man allerede i forbindelse med fratrædelsen tage stilling til, hvilke billeder og videoer medarbejderen medvirker i, og om de fortsat må bruges.
Derfor er det god praksis at anvende billeder, hvor medarbejdere ikke er entydigt genkendelige eller i fokus – især i materiale, der har lang levetid, som marketingmateriale på LinkedIn eller forsiden af virksomhedens hjemmeside.
Hold dig fra TikTok!
Visse sociale medier som fx TikTok er under særlig overvågning fra EU og datatilsynsmyndigheder, blandt andet fordi de behandler data uden for EU og målretter indhold baseret på adfærd. Bruger du TikTok til virksomhedens kommunikation, bør du være yderst forsigtig med at dele indhold, hvor personer kan identificeres – især børn. I mange tilfælde vil det være bedst helt at undlade at bruge TikTok til indhold med personoplysninger.
Hvad med interne og lukkede platforme?
Både intranet og lukkede platforme som Aula eller Microsoft Viva Engage er omfattet af GDPR på nøjagtig samme måde som de offentlige sociale medier. Derfor skal du også her overveje, om det er nødvendigt at dele billeder og videoer – og hvis du mener, at det er det, bør du derfor også sikre dig, at det lovlige grundlag er på plads. Enten som legitim interesse eller samtykke. Specielt i tilfælde, hvor indholdet er personfølsomt eller hvor personer optræder tydeligt, kræver det et egentligt samtykke. Her er det især vigtigt at have klare retningslinjer, hvis platformene bruges til at dele billeder af børn eller interne forhold på arbejdspladsen. At platformen er lukket, fritager dig ikke for reglerne.
Sund fornuft og klare retningslinjer
Hvis du vil bruge sociale medier på en ansvarlig og lovlig måde, er det afgørende, at din virksomhed har styr på, hvilke billeder og videoer der deles, hvem der er med på dem, og på hvilket grundlag de deles. Det behøver ikke være svært – men det kræver, at der er klare interne procedurer og forståelse for reglerne.
Overvej at lave en SoMe-politik, som beskriver, hvordan I håndterer samtykke, hvilke platforme I bruger, og hvordan I reagerer, hvis nogen ønsker at få indhold fjernet. Det skaber tryghed for både medarbejdere og kunder – og det beskytter virksomheden mod unødvendige risici.
Databeskyttelse er ikke en stopklods for kommunikation – det er en måde at sikre, at vi behandler hinanden ordentligt i det digitale rum. Sociale medier er et stærkt redskab for SMV’er, men kun hvis det bruges med omtanke.
