GDPR i bilder och filmer – det här behöver du tänka på 2024

Personuppgiftshantering är ett ständigt återkommande huvudbry för dig som arbetar med bilder och filmer i marknadsföring och kommunikation. Det händer nya saker på området hela tiden och därför har Mediaflow bett advokaten och dataskyddsexperten Katarina Ladenfors om hennes bästa råd för hur du ska tänka kring dina bilder och videor.

GDPR i bilder och filmer – det här behöver du tänka på 2024

GDPR är ett stort område som berör alla som arbetar med material som innehåller personuppgifter. Den här artikeln ger en överblick och är aktuell 2024, men detaljer i lagstiftningen kan komma att tillämpas annorlunda längre fram. Du kommer att lära dig om vad som gäller för foto vid större tillställningar, GDPR i sociala medier och vad som hänt efter målet mot Facebook (“Schrems II”). Du kommer också få tips för hur du dokumenterar och tar fram mallar och avtal.

Den här texten är en sammanfattning av Katarina Ladenfors presentation i Mediaflow Webinar – Bilder och GDPR. Du kan titta på sändningen i efterhand här.

När gäller GDPR?

När man pratar om personuppgifter enligt GDPR så spelar det ingen roll om det är foto eller film. Om det är människor som andra kan identifiera i materialet så gäller GDPR, alltså Dataskyddsförordningen, men det kan också handla om Lagen om namn och bild i reklam. Då behöver man avgöra om det är marknadsföring eller inte. En utgångspunkt vid användning av bild i reklam är att man har rätt till ersättning och även om man används i exempelvis en rekryteringsannons. Ersättningen går att avtala bort, men huvudregeln är att den medverkande har rätt till det.

Dataskyddsförordningen gäller sedan 2018

Dataskyddslagstiftningen som gäller nu infördes i maj 2018 och gäller även bildmaterial som skapades innan dess. Med den har vi nu betydligt hårdare krav att förhålla oss till när det gäller hur vi hanterar personuppgifter. Ansvaret ska finnas på ledningsnivå och både rutiner och dokumentation ska finnas på plats. För att arbeta smidigt med personuppgifter är man hjälpt av att ha en egen bildbankslösning som den som Mediaflow erbjuder, med inbyggt stöd för GDPR.

Intern och extern dokumentation

För att veta hur ni ska arbeta och se till att alla gör på samma sätt så behöver ni ta fram interna dokument, som en förteckning över era register, rutiner för bildhantering utifrån GDPR som visar hur ni resonerar i olika sammanhang och gärna även konsekvensbedömningar. Utbilda era anställda så att de vet hur de ska hantera personuppgifter. 

Den externa dokumentationen är den ni presenterar på hemsidan. Jag som besökare ska kunna läsa om hur mina personuppgifter behandlas om jag vill prenumerera på nyhetsbrev eller ta emot notiser. 

Det är också viktigt att komma ihåg att arbetet med GDPR aldrig blir klart. Det är mycket tillsyn och hela tiden nya vägledningar. Om er Dataskyddspolicy är från 2018 så bör ni se över den nu! Det finns bra vägledning efter ett beslut mot Klarna, som visar hur policyn ska se ut vilket troligtvis är mycket mer omfattande än det ni skrev 2018.

Principer och Laglig Grund

För att behandla personuppgifter korrekt och efterleva GDPR behöver du alltid hitta en laglig grund för behandlingen. Du behöver även följa principerna i GDPR vilket bland annat innebär att du bara får behandla personuppgifter utifrån ett ändamål som är beskrivet. Om ni har samlat in samtycken från föräldrar för att använda i en skolas blogg så får inte samma bilder användas till en informationsbroschyr eftersom det överskrider det beskrivna ändamålet.

Oavsett vilken laglig grund ni använder, måste ni informera de registrerade om hur deras personuppgifter behandlas. Ni får inte heller lagra material och personuppgifter hur länge som helst och på flera ställen. Ett konkret exempel är att även om ni har en skyldighet att arkivera enligt arkivlagstiftningen, så betyder det inte att ni får lagra materialet på andra ställen också.

Om ni inte längre behöver bilderna för det syfte ni samlade in dem, bör de raderas. Har ni lagkrav på arkivering, ska ni följa dessa, men undvik att lagra bilder på flera ställen om det inte behövs.

Läs även: Så här undviker du vanliga GDPR-misstag i video

Vilka lagliga grunder är lämpliga att använda?

De sex olika grunderna är samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och allmänt intresse, samt grundläggande intresse. Två av dessa är inte särskilt intressanta när vi pratar om bild och film: grundläggande intresse och rättslig förpliktelse.

Samtycke

Samtycke som laglig grund ska användas i sista hand på grund av att det alltid måste vara frivilligt. Om det finns en beroendeställning, som till exempel mellan arbetsgivare och arbetstagare, kan man som huvudregel inte använda samtycke. En bedömningen bör göras från fall till fall men dokumentera era principer i en rutin. Det måste också alltid vara ett dokumenterat samtycke. Ett muntligt samtycke är inte tillräckligt, det måste vara skriftligt eller inspelat.

Det bästa sättet att dokumentera samtycke är att ha en skriftlig blankett där den registrerade kan fylla i sina uppgifter och kryssa i att de ger sitt samtycke. Det är också bra att ha en digital version om ni samlar in samtycke online. Se till att det tydligt framgår vad samtycket gäller. 

Ett samtycke ska också vara lika lätt att ge som att återkalla. Tänk dig en informationsfilm på er hemsida där en person återkallar sitt samtycke. Då kan ni inte längre ha kvar filmen på hemsidan. 

Avtal

Avtal, till exempel modellavtal eller medverkandeavtal, kan istället vara mer lämpligt. Ett avtal ska reglera förpliktelser för båda parter, inklusive ersättningsfrågan. Och som sagt tidigare – om ni inte ger ersättning, bör ni reglera det i avtalet.

Rekommendationen är att ta fram era egna mallar för samtycken och avtal utifrån era behov. Det är svårt att använda mallar som andra tagit fram, utan det är ett arbete som ni behöver göra för att underlätta för era anställda.

Intresseavvägning

Nästa grund är intresseavvägning som är den mest tillåtande grunden. Den är till för företag och organisationer som inte utför myndighetsutövning. För att kunna använda denna grund måste ni göra en bedömning av om era intressen väger tyngre än den registrerades rätt till integritet. Det kan till exempel vara bilder på anställda till intranät. Ni måste dokumentera er bedömning och motivera varför ni anser att era intressen väger tyngre.

Myndighetsutövning och allmänt intresse

Det här är grunder som är relevanta för myndigheter. Här kan det till exempel handla om att dokumentera offentliga evenemang eller information som är av allmänt intresse. Det är myndighetens skyldighet att informera om sin verksamhet. Det är viktigt att ni har tydliga rutiner och dokumentation för hur ni hanterar dessa situationer. 

Ni har informationsplikt

Det är många som tror att om ni använder Allmänt intresse eller Berättigat intresse som laglig grund så behöver ni inte informera, men det måste man alltid göra. GDPR ställer långtgående krav på information både innan behandling och att kunna ge ut information i efterhand, till exempel genom registerutdrag.

De som ni registrerar har rätt att få veta vilka uppgifter ni har om dem, rätt att få felaktiga uppgifter rättade eller även raderade och de kan invända mot behandlingen. Och ni måste ha rutiner på plats för att hantera dessa rättigheter och hur ni informerar på bästa sätt.

Att fotografera vid större tillställningar

När det gäller fotografering vid stora evenemang, som Almedalen, finns det vägledning från Integritetsskyddsmyndigheten IMY om mingelbilder. Ett samtycke kan vara svårt att få när det är många människor på bild. För myndigheter kan därför en rättslig grund vara att ge information om verksamheten, och för privata organisationer kan intresseavvägning användas. Men detta måste som sagt dokumenteras och informeras.

GDPR i sociala medier

När ni använder sociala medier sker en personuppgiftsbehandling, och oftast en överföring av personuppgifter till USA. Efter målet Schrems II var detta inte tillåtet, men nu har vi Data Privacy Framework som ger adekvat skyddsnivå om den sociala medieplattformen anslutit sig till regelverket, åtminstone tillfälligt. Ramverket ska utvärderas av EU-kommissionen och efter det vet vi om det står sig. Men oavsett måste er publicering av bilder och filmer i sociala medier vara genomtänkt och dokumenterad. 

Tips!

Ett tips är att skapa en rutin för bild och film som reglerar GDPR, hanterar de praktiska frågorna och som kan visas upp om ni får en tillsyn. 

Släpp GDPR-stressen med Mediaflow

Mediaflow är en molnbaserad tjänst för ditt arbetsflöde med bilder, video och dokument. Med kraftfulla GDPR-verktyg, automatisk undertextning av filmer och smidig delning av filer kan du kapa flera andra tjänster och ha allt samlat på en plattform. Boka en demonstration för att se hur din organisation kan arbeta effektivare med Mediaflow.

Följ våra nyheter och sociala medier


Lär dig mer om Bildjuridik!

Det finns flera aspekter att tänka på när det gäller AI och bilder; vad innebär det att ladda upp eget material i AI-databaser? Vad ger man för rättigheter till databasen och finns det risker ur ett GDPR-perspektiv om materialet innehåller bilder på människor?

Det och mycket mer går vi igenom under kursen Bildjuridik – bilder, film och GDPR som ges av advokatfirman MarLaw. Läs mer och anmäl dig här: Länk: https://marlaw.se/bildjuridik-bilder-video-och-gdpr/

Mediaflow är med på listan över Nordens mest framgångsrika mjukvarubolag!

08 november 2024

Vi är stolta över att kunna meddela att Mediaflow placerar sig som nummer 27 bland de 50 främsta mjukvarubolagen i Norden. Utmärkelsen kom i Main Software 50 Nordics, som delades ut på Villa Copenhagen i Köpenhamn den 10 oktober. Att bli erkända i detta sammanhang är ett bevis på vårt hårda arbete och vårt engagemang för att skapa värde för våra kunder och bidra till mjukvaruindustrins utveckling.

Stort tack för alla inspirerande samtal i vår monter på Sitevisiondagarna!

25 oktober 2024

Vi vill rikta ett stort tack till alla er som tog er tid att besöka Mediaflows monter på Sitevisiondagarna. Det var fantastiskt roligt att träffa så många av er, både gamla och nya bekantskaper. Att få ta del av er feedback är otroligt värdefullt för att kunna utveckla och förbättra plattformen framåt, med ert arbete i fokus.

Åk till toppen