Foton och ljudinspelningar kan vara känsliga personuppgifter enligt GDPR. En personuppgift är en uppgift som går att koppla till en levande individ och ska kunna identifiera personen. En bild, video eller ljudinspelning och därför vara en personuppgift. Dessutom kan det vara en känslig personuppgift. Sedan GDPR började gälla i maj 2018, är det inte tillåtet enligt huvudregeln att behandla känsliga personuppgifter, men det finns undantag. Exempel på känsliga personuppgifter är uppgifter om hälsa, religion eller politiska åsikter m.m.
Foton kan vara känsliga personuppgifter
Biometriska personuppgifter är känsliga personuppgifter och det kan ett foto eller en ljudinspelning innehålla. Enligt GDPR finns det en definition av vad biometriska personuppgifter är: när personuppgifterna har blivit insamlade med hjälp av en särskild teknisk behandling. Dessutom ska det behandla fysiken, fysiologiska eller andra kännetecken som är kopplade till beteendet för att vara en biometrisk personuppgift. Med andra ord måste det förekomma en särskild teknik och det finns företag och andra aktörer som använder sådan teknik för att ersätta lösenord genom ansiktsigenkänning eller liknande.
Ett foto är inte alltid en personuppgift. Om det inte går att identifiera personen på fotot på något sätt, är det ingen personuppgift. Även en teckning kan vara en personuppgift.
När ett företag behandlar känsliga personuppgifter måste de få ett uttryckligt samtycke från individen ifråga. Känsliga personuppgifter utgör en av fyra grupper av integritetskänsliga personuppgifter. Det är även möjligt att använda annan rättslig grund för behandlingen om det är tillåtet enligt GDPR. Företag behöver i vissa fall behandla känsliga personuppgifter på grund av rättslig förpliktelse. Exempelvis när ett företag behöver registrera sjukfrånvaro från en anställd vilket är en känslig personuppgift. Känsliga uppgifter ska bli behandlade med högre säkerhet. Därför ska inte företaget skicka en lönespecifikation som innehåller uppgift om sjukfrånvaro via mejl som inte är krypterad. Detta eftersom det inte är tillräckligt säkert att behandla känsliga personuppgifter på sådant sätt. Ett företag i Tyskland hade behandlat känsliga personuppgifter utan tilltäckligt hög säkerhet och fick därför betala en sanktionsavgift på 15 000 euro.