GDPR är ett stort område som berör alla som arbetar med material som innehåller personuppgifter. Den här artikeln ger en överblick och är aktuell 2024, men detaljer i lagstiftningen kan komma att tillämpas annorlunda längre fram. Du kommer att lära dig om vad som gäller för foto vid större tillställningar, GDPR i sociala medier och vad som hänt efter målet mot Facebook (“Schrems II”). Du kommer också få tips för hur du dokumenterar och tar fram mallar och avtal.
Den här texten är en sammanfattning av Katarina Ladenfors presentation i Mediaflow Webinar – Bilder och GDPR. Du kan titta på sändningen i efterhand här.
När gäller GDPR?
När man pratar om personuppgifter enligt GDPR så spelar det ingen roll om det är foto eller film. Om det är människor som andra kan identifiera i materialet så gäller GDPR, alltså Dataskyddsförordningen, men det kan också handla om Lagen om namn och bild i reklam. Då behöver man avgöra om det är marknadsföring eller inte. En utgångspunkt vid användning av bild i reklam är att man har rätt till ersättning och även om man används i exempelvis en rekryteringsannons. Ersättningen går att avtala bort, men huvudregeln är att den medverkande har rätt till det.
Dataskyddsförordningen gäller sedan 2018
Dataskyddslagstiftningen som gäller nu infördes i maj 2018 och gäller även bildmaterial som skapades innan dess. Med den har vi nu betydligt hårdare krav att förhålla oss till när det gäller hur vi hanterar personuppgifter. Ansvaret ska finnas på ledningsnivå och både rutiner och dokumentation ska finnas på plats. För att arbeta smidigt med personuppgifter är man hjälpt av att ha en egen bildbankslösning som den som Mediaflow erbjuder, med inbyggt stöd för GDPR.
Intern och extern dokumentation
För att veta hur ni ska arbeta och se till att alla gör på samma sätt så behöver ni ta fram interna dokument, som en förteckning över era register, rutiner för bildhantering utifrån GDPR som visar hur ni resonerar i olika sammanhang och gärna även konsekvensbedömningar. Utbilda era anställda så att de vet hur de ska hantera personuppgifter.
Den externa dokumentationen är den ni presenterar på hemsidan. Jag som besökare ska kunna läsa om hur mina personuppgifter behandlas om jag vill prenumerera på nyhetsbrev eller ta emot notiser.
Det är också viktigt att komma ihåg att arbetet med GDPR aldrig blir klart. Det är mycket tillsyn och hela tiden nya vägledningar. Om er Dataskyddspolicy är från 2018 så bör ni se över den nu! Det finns bra vägledning efter ett beslut mot Klarna, som visar hur policyn ska se ut vilket troligtvis är mycket mer omfattande än det ni skrev 2018.
Principer och Laglig Grund
För att behandla personuppgifter korrekt och efterleva GDPR behöver du alltid hitta en laglig grund för behandlingen. Du behöver även följa principerna i GDPR vilket bland annat innebär att du bara får behandla personuppgifter utifrån ett ändamål som är beskrivet. Om ni har samlat in samtycken från föräldrar för att använda i en skolas blogg så får inte samma bilder användas till en informationsbroschyr eftersom det överskrider det beskrivna ändamålet.
Oavsett vilken laglig grund ni använder, måste ni informera de registrerade om hur deras personuppgifter behandlas. Ni får inte heller lagra material och personuppgifter hur länge som helst och på flera ställen. Ett konkret exempel är att även om ni har en skyldighet att arkivera enligt arkivlagstiftningen, så betyder det inte att ni får lagra materialet på andra ställen också.
Om ni inte längre behöver bilderna för det syfte ni samlade in dem, bör de raderas. Har ni lagkrav på arkivering, ska ni följa dessa, men undvik att lagra bilder på flera ställen om det inte behövs.
Läs även: Så här undviker du vanliga GDPR-misstag i video
Vilka lagliga grunder är lämpliga att använda?
De sex olika grunderna är samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och allmänt intresse, samt grundläggande intresse. Två av dessa är inte särskilt intressanta när vi pratar om bild och film: grundläggande intresse och rättslig förpliktelse.
Samtycke
Samtycke som laglig grund ska användas i sista hand på grund av att det alltid måste vara frivilligt. Om det finns en beroendeställning, som till exempel mellan arbetsgivare och arbetstagare, kan man som huvudregel inte använda samtycke. En bedömningen bör göras från fall till fall men dokumentera era principer i en rutin. Det måste också alltid vara ett dokumenterat samtycke. Ett muntligt samtycke är inte tillräckligt, det måste vara skriftligt eller inspelat.
Det bästa sättet att dokumentera samtycke är att ha en skriftlig blankett där den registrerade kan fylla i sina uppgifter och kryssa i att de ger sitt samtycke. Det är också bra att ha en digital version om ni samlar in samtycke online. Se till att det tydligt framgår vad samtycket gäller.
Ett samtycke ska också vara lika lätt att ge som att återkalla. Tänk dig en informationsfilm på er hemsida där en person återkallar sitt samtycke. Då kan ni inte längre ha kvar filmen på hemsidan.
Avtal
Avtal, till exempel modellavtal eller medverkandeavtal, kan istället vara mer lämpligt. Ett avtal ska reglera förpliktelser för båda parter, inklusive ersättningsfrågan. Och som sagt tidigare – om ni inte ger ersättning, bör ni reglera det i avtalet.
Rekommendationen är att ta fram era egna mallar för samtycken och avtal utifrån era behov. Det är svårt att använda mallar som andra tagit fram, utan det är ett arbete som ni behöver göra för att underlätta för era anställda.
Intresseavvägning
Nästa grund är intresseavvägning som är den mest tillåtande grunden. Den är till för företag och organisationer som inte utför myndighetsutövning. För att kunna använda denna grund måste ni göra en bedömning av om era intressen väger tyngre än den registrerades rätt till integritet. Det kan till exempel vara bilder på anställda till intranät. Ni måste dokumentera er bedömning och motivera varför ni anser att era intressen väger tyngre.
Myndighetsutövning och allmänt intresse
Det här är grunder som är relevanta för myndigheter. Här kan det till exempel handla om att dokumentera offentliga evenemang eller information som är av allmänt intresse. Det är myndighetens skyldighet att informera om sin verksamhet. Det är viktigt att ni har tydliga rutiner och dokumentation för hur ni hanterar dessa situationer.
Ni har informationsplikt
Det är många som tror att om ni använder Allmänt intresse eller Berättigat intresse som laglig grund så behöver ni inte informera, men det måste man alltid göra. GDPR ställer långtgående krav på information både innan behandling och att kunna ge ut information i efterhand, till exempel genom registerutdrag.
De som ni registrerar har rätt att få veta vilka uppgifter ni har om dem, rätt att få felaktiga uppgifter rättade eller även raderade och de kan invända mot behandlingen. Och ni måste ha rutiner på plats för att hantera dessa rättigheter och hur ni informerar på bästa sätt.
Att fotografera vid större tillställningar
När det gäller fotografering vid stora evenemang, som Almedalen, finns det vägledning från Integritetsskyddsmyndigheten IMY om mingelbilder. Ett samtycke kan vara svårt att få när det är många människor på bild. För myndigheter kan därför en rättslig grund vara att ge information om verksamheten, och för privata organisationer kan intresseavvägning användas. Men detta måste som sagt dokumenteras och informeras.
GDPR i sociala medier
När ni använder sociala medier sker en personuppgiftsbehandling, och oftast en överföring av personuppgifter till USA. Efter målet Schrems II var detta inte tillåtet, men nu har vi Data Privacy Framework som ger adekvat skyddsnivå om den sociala medieplattformen anslutit sig till regelverket, åtminstone tillfälligt. Ramverket ska utvärderas av EU-kommissionen och efter det vet vi om det står sig. Men oavsett måste er publicering av bilder och filmer i sociala medier vara genomtänkt och dokumenterad.
Tips!
Ett tips är att skapa en rutin för bild och film som reglerar GDPR, hanterar de praktiska frågorna och som kan visas upp om ni får en tillsyn.