Under coronapandemin har företag börjat göra mer affärer online, vilket inkluderar hur vi håller möten och kommunicerar. Vi använder oss numer av videokonferens för att på bästa sätt upprätthålla kontakt, hålla kundmöten och att nätverka.
När det gäller integritet så skiljer sig onlinekommunikation genom videokonferens inte alltför mycket från den kommunikation som vanligtvis utförs personligen. Det vi däremot måste komma ihåg är att det finns särskilda frågor och element som måste respekteras för att videosamtalen ska ske i en säker miljö. Vi måste också respektera integritet och konfidentialitet liksom att säkerställa tillgång till information enligt dataskyddsbestämmelserna.
Videokonferenstjänster såsom exempelvis Zoom skiljer sig egentligen inte från någon annan onlinetjänsteleverantör. Om Zoom behandlar personuppgifter från din användning av tjänsten så kommer de att vara ditt personuppgiftsbiträde och i GDPR-termer betyder det att du måste vara säker på att de – ditt biträde – är GDPR-kompatibla. Själv behöver du se till att tillämpa GDPR för att säkerställa att det finns ett avtal på plats när det gäller behandling av den persondata som du (eller rättare sagt – din organisation) ansvarar för.
Nu i veckan kunde vi läsa hur den spanska tillsynsmyndigheten utfärdade sanktioner gentemot ett företag inom skaldjursbranschen. De hade olovligen installerat ett kamerasystem som filmade och spelade in ljud från ett konferensrum. Till sitt försvar menade skaldjursföretaget att informationsskyltar fanns väl synliga och placerade i anläggningen. Men de agenter som var på plats för att genomföra en spårbarhetsstudie förväntade sig inte, eller var alls medvetna om den bild- och ljudinspelning som gjorts i rummet i fråga. Möjligheterna att kamerabevaka begränsas i dylika sammanhang till när säkerheten (exempelvis för anläggningar, varor och personer) väger tyngre än riskerna för enskildas rättigheter och friheter.
Oavsett om övervakning sker genom ett kamerabevakningssystem eller om det sker i en videokonferenstjänst så måste principen om proportionalitet och uppgiftsminimering alltid respekteras. Personuppgifter som inhämtas ska vara adekvata, relevanta och begränsade till vad som är nödvändigt i förhållandet till ändamålen med behandlingen. Bara för att vi informerar om att det finns ett uppsatt kamerabevakningssystem i en byggnad innebär inte per automatik att det är grönt ljus att inhämta uppgifter i alla utrymmen, om alla besökare.
Några saker som kan vara bra att tänka på om du arrangerar onlinekonferenser är att:
- Det är du som är personuppgiftsansvarig. Det innebär att du måste överväga konsekvenserna av vad du behöver göra som personuppgiftsansvarig. Du måste bland annat informera, tala om ändamålet och se till att det system du behandlar uppgifterna i är GDPR-kompatibelt.
- Videkonferensleverantörer är oftast online/molnbaserade och kommer sannolikt att vara ditt personuppgiftsbiträde. GDPR kräver att du ser till att alla biträden som anlitas är GDPR-kompatibla och att det finns personuppgiftsbiträdeavtal eller andra datadelningsavtal. Du måste säkerställa att det finns en förståelse och tydlighet ifråga om vad leverantören gör med den data som samlas in från din och dina deltagares användning av systemet.
Sara Jansson, paralegal
