Foton och ljudinspelningar kan vara känsliga personuppgifter enligt GDPR. En personuppgift är en uppgift som, direkt eller indirekt, ensam tåler i kombination med andra uppgifter, går att koppla till en levande individ och därmed identifiera personen. En bild, videoinspelning eller ljudinspelning som inkluderar en fysisk levande person kan därför utgöra en personuppgift.
Dessutom kan det röra sig om en känslig personuppgift, om särskilda kategorier av personuppgifter blir avslöjade genom materialet. Sedan GDPR började gälla i maj 2018, är det inte tillåtet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 i GDPR. Men det finns några undantag. Exempel på känsliga personuppgifter är uppgifter som avslöjar information om en individs hälsa, religiösa övertygelse eller politiska åsikter.
Foton kan vara känsliga personuppgifter
Biometriska personuppgifter är känsliga personuppgifter, vilket ett foto eller en ljudinspelning kan innehålla. Enligt artikel 4 punkt 14 i GDPR framgår definitionen av vad biometriska personuppgifter är. Kort sagt, utgör det personuppgifter som har blivit insamlade med hjälp av en särskild teknisk behandling. Dessutom ska behandlingen omfatta fysiken, fysiologiska eller andra kännetecken som är kopplade till individens beteende, för att vara en biometrisk personuppgift. Med andra ord måste det förekomma en särskild teknik. Det finns företag och andra aktörer som använder sådan teknik för att ersätta lösenord genom ansiktsigenkänning, anläggning av fingeravtryck eller liknande.
Ett foto är dock inte alltid en personuppgift. Om det inte går att identifiera personen på fotot på något sätt, är det ingen personuppgift. Även en teckning kan vara en personuppgift.
När ett företag behandlar känsliga personuppgifter, måste det ske med stöd i ett av undantagen som framgår i artikel 9.2 i GDPR. Exempelvis kan behandlingen ske med stöd i ett uttryckligt samtycke från individen ifråga. Känsliga personuppgifter utgör en av fyra grupper av integritetskänsliga personuppgifter. Det är även möjligt att använda annan rättslig grund för behandlingen, om det är tillåtet enligt GDPR. Företag behöver i vissa fall behandla känsliga personuppgifter på grund av rättslig förpliktelse. Exempelvis när en arbetsgivare behöver registrera sjukfrånvaro från en anställd, vilket utgör en känslig personuppgift.
Känsliga uppgifter ska bli behandlade med högre säkerhet. Därför ska inte företaget skicka en lönespecifikation som innehåller uppgift om sjukfrånvaro via mejl som inte är krypterad. Detta beror på att det inte är tillräckligt säkert att behandla känsliga personuppgifter på sådant sätt. Ett företag i Tyskland hade behandlat känsliga personuppgifter utan tilltäckligt hög säkerhet och fick därför betala en sanktionsavgift på 15 000 euro.
