Digipic
Logga inKom igång
Tillbaka till bloggen

GDPR & bilder på företagsevent — allt du behöver veta

Företagsevent — konferenser, kickoffer, afterwork och jubileumsfester — är tillfällen som ofta dokumenteras med bilder och video. Men i en företagskontext finns ett extra lager av ansvar. Relationen mellan arbetsgivare och anställd gör att reglerna kring GDPR ska tolkas strängare, och kraven på samtycke är högre.

I den här guiden reder vi ut vad dataskyddsförordningen (GDPR) innebär för just företagsevent och ger dig en praktisk checklista att följa.

Varför är GDPR extra viktig vid företagsevent?

Vid privata fester — bröllop, födelsedagar — gäller ofta det så kallade hushållsundantaget, vilket innebär att privatpersoner som fotograferar för eget bruk inte omfattas av GDPR. Men så fort ett företag eller en organisation arrangerar ett event och samlar in bilder gäller dataskyddsförordningen fullt ut.

Dessutom är relationen mellan arbetsgivare och anställd i sig skälet till att Datainspektionen (numera IMY) och EU:s dataskyddsmyndigheter bedömer att samtycke i arbetsrelaterade sammanhang sällan kan anses vara frivilligt. En anställd kan känna sig pressad att samtycka, och då uppfyller samtycket inte GDPR:s krav på att vara fritt givet.

Det betyder inte att du inte får fotografera vid företagsevent — men du behöver tänka igenom vilken rättslig grund du stödjer dig på och hur du informerar deltagarna.

Rättslig grund för bildhantering vid företagsevent

GDPR kräver att varje behandling av personuppgifter har en rättslig grund. För bilder vid företagsevent är de vanligaste alternativen:

  • Berättigat intresse (artikel 6.1 f) — Företaget kan ha ett berättigat intresse av att dokumentera sitt event, till exempel för internkommunikation eller historiska ändamål. Här krävs en intresseavvägning: ditt intresse måste vägas mot de registrerades rätt till integritet.
  • Samtycke (artikel 6.1 a) — Kan fungera om det verkligen är frivilligt. Om bilderna ska användas i extern marknadsföring rekommenderas alltid uttryckligt samtycke.

Oavsett vilken rättslig grund du väljer är det viktigt att dokumentera valet och att kunna motivera det vid en eventuell granskning.

Informera deltagarna

En av de viktigaste delarna i GDPR-efterlevnad är transparens. Alla deltagare vid eventet ska informeras om:

  • Att bilder och/eller video kommer att samlas in.
  • Vem som är personuppgiftsansvarig (vanligtvis företaget som arrangerar eventet).
  • Syftet med bildhanteringen (internt album, marknadsföring, sociala medier etc.).
  • Hur länge bilderna kommer att sparas.
  • Deltagarnas rättigheter — bland annat rätten att invända och rätten att begära radering.

Informationen bör ges i förväg, till exempel i inbjudan, och upprepas på plats genom skyltar eller ett kort meddelande från scenen. Ju tydligare du kommunicerar, desto starkare blir din position om en fråga uppstår i efterhand. Läs mer om grunderna i vår artikel GDPR & eventfoton.

Hantering av personer som inte vill vara med

Inte alla deltagare vill synas på bilder. Enligt GDPR har registrerade rätt att invända mot behandling av deras personuppgifter. I praktiken innebär det att du behöver en plan för hur du hanterar invändningar:

  • Före eventet — Ge deltagarna möjlighet att meddela i förväg att de inte vill fotograferas.
  • Under eventet — Överväg att markera med armband eller liknande att vissa deltagare inte vill vara med på bild.
  • Efter eventet — Hantera raderingsbegäranden skyndsamt. Granska bilder innan publicering och ta bort bilder på personer som har invänt.

Personuppgiftsbiträdesavtal och plattformsval

Om du använder en extern plattform för att samla in eller lagra eventbilder agerar plattformen i många fall som personuppgiftsbiträde åt dig. GDPR kräver då att ni har ett skriftligt personuppgiftsbiträdesavtal (artikel 28).

Vid valet av plattform bör du kontrollera:

  • Var data lagras — Lagring inom EU/EES är att föredra och minimerar riskerna vid tredjelandsöverföring.
  • Vilka underbiträden som används — Plattformen bör vara transparent med eventuella underleverantörer.
  • Lagringstider och radering — Plattformen bör stödja automatisk radering och ge dig kontroll att radera bilder manuellt.

Digipic lagrar all data inom EU och erbjuder automatisk radering efter den lagringsperiod du själv anger. Vi fungerar som personuppgiftsbiträde och tillhandahåller ett biträdesavtal som uppfyller kraven i GDPR.

Praktisk GDPR-checklista för företagsevent

Använd den här checklistan som stöd inför nästa företagsevent:

  1. ✅ Bestäm och dokumentera den rättsliga grunden för bildhanteringen.
  2. ✅ Informera deltagarna i inbjudan och på plats.
  3. ✅ Ge deltagarna möjlighet att välja bort fotografering.
  4. ✅ Använd en plattform som lagrar data inom EU.
  5. ✅ Säkerställ att ett personuppgiftsbiträdesavtal finns med plattformen.
  6. ✅ Sätt en tydlig lagringstid — och radera bilder efter eventet när de inte längre behövs.
  7. ✅ Inhämta uttryckligt samtycke om bilder ska användas i extern marknadsföring.
  8. ✅ Granska alla bilder innan publicering — ta bort bilder på personer som har invänt.

Läs även om bilddelning ur ett säkerhetsperspektiv i artikeln fotografering vid företagsevent.

Genom att ta GDPR på allvar visar du inte bara att företaget följer lagen — du visar även respekt för dina medarbetare och gäster. Det bygger förtroende, och förtroende är grunden för varje lyckat event.

Observera att denna text är informativ och inte utgör juridisk rådgivning. Konsultera en jurist eller dataskyddsombud för vägledning anpassad till er verksamhet.