Katarina Ladenfors
Personuppgiftshantering är ett ständigt återkommande huvudbry för dig som arbetar med bilder och filmer i marknadsföring och kommunikation. Det händer nya saker på området hela tiden och därför har Mediaflow bett advokaten och dataskyddsexperten Katarina Ladenfors om hennes bästa råd för hur du ska tänka kring dina bilder och videor.
GDPR är ett stort område som berör alla som arbetar med material som innehåller personuppgifter. Den här artikeln ger en överblick och är aktuell 2024, men detaljer i lagstiftningen kan komma att tillämpas annorlunda längre fram. Du kommer att lära dig om vad som gäller för foto vid större tillställningar, GDPR i sociala medier och vad som hänt efter målet mot Facebook (“Schrems II”). Du kommer också få tips för hur du dokumenterar och tar fram mallar och avtal.
Den här texten är en sammanfattning av Katarina Ladenfors presentation i Mediaflow Webinar – Bilder och GDPR. Du kan titta på sändningen i efterhand här.
När man pratar om personuppgifter enligt GDPR så spelar det ingen roll om det är foto eller film. Om det är människor som andra kan identifiera i materialet så gäller GDPR, alltså Dataskyddsförordningen, men det kan också handla om Lagen om namn och bild i reklam. Då behöver man avgöra om det är marknadsföring eller inte. En utgångspunkt vid användning av bild i reklam är att man har rätt till ersättning och även om man används i exempelvis en rekryteringsannons. Ersättningen går att avtala bort, men huvudregeln är att den medverkande har rätt till det.
Dataskyddslagstiftningen som gäller nu infördes i maj 2018 och gäller även bildmaterial som skapades innan dess. Med den har vi nu betydligt hårdare krav att förhålla oss till när det gäller hur vi hanterar personuppgifter. Ansvaret ska finnas på ledningsnivå och både rutiner och dokumentation ska finnas på plats. För att arbeta smidigt med personuppgifter är man hjälpt av att ha en egen bildbankslösning som den som Mediaflow erbjuder, med inbyggt stöd för GDPR.
För att veta hur ni ska arbeta och se till att alla gör på samma sätt så behöver ni ta fram interna dokument, som en förteckning över era register, rutiner för bildhantering utifrån GDPR som visar hur ni resonerar i olika sammanhang och gärna även konsekvensbedömningar. Utbilda era anställda så att de vet hur de ska hantera personuppgifter.
Den externa dokumentationen är den ni presenterar på hemsidan. Jag som besökare ska kunna läsa om hur mina personuppgifter behandlas om jag vill prenumerera på nyhetsbrev eller ta emot notiser.
Det är också viktigt att komma ihåg att arbetet med GDPR aldrig blir klart. Det är mycket tillsyn och hela tiden nya vägledningar. Om er Dataskyddspolicy är från 2018 så bör ni se över den nu! Det finns bra vägledning efter ett beslut mot Klarna, som visar hur policyn ska se ut vilket troligtvis är mycket mer omfattande än det ni skrev 2018.
För att behandla personuppgifter korrekt och efterleva GDPR behöver du alltid hitta en laglig grund för behandlingen. Du behöver även följa principerna i GDPR vilket bland annat innebär att du bara får behandla personuppgifter utifrån ett ändamål som är beskrivet. Om ni har samlat in samtycken från föräldrar för att använda i en skolas blogg så får inte samma bilder användas till en informationsbroschyr eftersom det överskrider det beskrivna ändamålet.
Oavsett vilken laglig grund ni använder, måste ni informera de registrerade om hur deras personuppgifter behandlas. Ni får inte heller lagra material och personuppgifter hur länge som helst och på flera ställen. Ett konkret exempel är att även om ni har en skyldighet att arkivera enligt arkivlagstiftningen, så betyder det inte att ni får lagra materialet på andra ställen också.
Om ni inte längre behöver bilderna för det syfte ni samlade in dem, bör de raderas. Har ni lagkrav på arkivering, ska ni följa dessa, men undvik att lagra bilder på flera ställen om det inte behövs.
Läs även: Så här undviker du vanliga GDPR-misstag i video
De sex olika grunderna är samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och allmänt intresse, samt grundläggande intresse. Två av dessa är inte särskilt intressanta när vi pratar om bild och film: grundläggande intresse och rättslig förpliktelse.
Samtycke som laglig grund ska användas i sista hand på grund av att det alltid måste vara frivilligt. Om det finns en beroendeställning, som till exempel mellan arbetsgivare och arbetstagare, kan man som huvudregel inte använda samtycke. En bedömningen bör göras från fall till fall men dokumentera era principer i en rutin. Det måste också alltid vara ett dokumenterat samtycke. Ett muntligt samtycke är inte tillräckligt, det måste vara skriftligt eller inspelat.
Det bästa sättet att dokumentera samtycke är att ha en skriftlig blankett där den registrerade kan fylla i sina uppgifter och kryssa i att de ger sitt samtycke. Det är också bra att ha en digital version om ni samlar in samtycke online. Se till att det tydligt framgår vad samtycket gäller.
Ett samtycke ska också vara lika lätt att ge som att återkalla. Tänk dig en informationsfilm på er hemsida där en person återkallar sitt samtycke. Då kan ni inte längre ha kvar filmen på hemsidan.
Avtal, till exempel modellavtal eller medverkandeavtal, kan istället vara mer lämpligt. Ett avtal ska reglera förpliktelser för båda parter, inklusive ersättningsfrågan. Och som sagt tidigare – om ni inte ger ersättning, bör ni reglera det i avtalet.
Rekommendationen är att ta fram era egna mallar för samtycken och avtal utifrån era behov. Det är svårt att använda mallar som andra tagit fram, utan det är ett arbete som ni behöver göra för att underlätta för era anställda.
Nästa grund är intresseavvägning som är den mest tillåtande grunden. Den är till för företag och organisationer som inte utför myndighetsutövning. För att kunna använda denna grund måste ni göra en bedömning av om era intressen väger tyngre än den registrerades rätt till integritet. Det kan till exempel vara bilder på anställda till intranät. Ni måste dokumentera er bedömning och motivera varför ni anser att era intressen väger tyngre.
Det här är grunder som är relevanta för myndigheter. Här kan det till exempel handla om att dokumentera offentliga evenemang eller information som är av allmänt intresse. Det är myndighetens skyldighet att informera om sin verksamhet. Det är viktigt att ni har tydliga rutiner och dokumentation för hur ni hanterar dessa situationer.
Det är många som tror att om ni använder Allmänt intresse eller Berättigat intresse som laglig grund så behöver ni inte informera, men det måste man alltid göra. GDPR ställer långtgående krav på information både innan behandling och att kunna ge ut information i efterhand, till exempel genom registerutdrag.
De som ni registrerar har rätt att få veta vilka uppgifter ni har om dem, rätt att få felaktiga uppgifter rättade eller även raderade och de kan invända mot behandlingen. Och ni måste ha rutiner på plats för att hantera dessa rättigheter och hur ni informerar på bästa sätt.
När det gäller fotografering vid stora evenemang, som Almedalen, finns det vägledning från Integritetsskyddsmyndigheten IMY om mingelbilder. Ett samtycke kan vara svårt att få när det är många människor på bild. För myndigheter kan därför en rättslig grund vara att ge information om verksamheten, och för privata organisationer kan intresseavvägning användas. Men detta måste som sagt dokumenteras och informeras.
När ni använder sociala medier sker en personuppgiftsbehandling, och oftast en överföring av personuppgifter till USA. Efter målet Schrems II var detta inte tillåtet, men nu har vi Data Privacy Framework som ger adekvat skyddsnivå om den sociala medieplattformen anslutit sig till regelverket, åtminstone tillfälligt. Ramverket ska utvärderas av EU-kommissionen och efter det vet vi om det står sig. Men oavsett måste er publicering av bilder och filmer i sociala medier vara genomtänkt och dokumenterad.
Tips!
Ett tips är att skapa en rutin för bild och film som reglerar GDPR, hanterar de praktiska frågorna och som kan visas upp om ni får en tillsyn.
Mediaflow är en molnbaserad tjänst för ditt arbetsflöde med bilder, video och dokument. Med kraftfulla GDPR-verktyg, automatisk undertextning av filmer och smidig delning av filer kan du kapa flera andra tjänster och ha allt samlat på en plattform. Boka en demonstration för att se hur din organisation kan arbeta effektivare med Mediaflow.
Det finns flera aspekter att tänka på när det gäller AI och bilder; vad innebär det att ladda upp eget material i AI-databaser? Vad ger man för rättigheter till databasen och finns det risker ur ett GDPR-perspektiv om materialet innehåller bilder på människor?
Det och mycket mer går vi igenom under kursen Bildjuridik – bilder, film och GDPR som ges av advokatfirman MarLaw. Läs mer och anmäl dig här: Länk: https://marlaw.se/bildjuridik-bilder-video-och-gdpr/
Vi på Mediaflow är otroligt glada och stolta över att ännu en gång ha fått den prestigefyllda utmärkelsen DI Gasell. Det är ett kvitto på att vi är ett av Sveriges snabbast växande och starka företag och att vårt hårda arbete, vår innovation och grymma medarbetare gör skillnad för våra kunder.
Fler och fler företag och organisationer uppger att de vill använda video som en del av sin marknadsföring och kommunikation, men många upplever också att det är svårt att börja. Det finns en uppfattning om att det är både dyrt med teknik och resurskrävande. I den här artikeln ska vi ge våra bästa tips för dig som ligger i startgroparna men som ännu inte riktigt satt igång.
Att skriva alt-texter till bilder kan kännas som en tråkig och tidskrävande uppgift, som är lätt att hoppa över när man har fullt upp med att skapa innehåll. Kanske har du undvikit det helt, trots att du egentligen vet att alt-texter inte bara förbättrar tillgängligheten utan också stärker din sökmotoroptimering? Vi på Mediaflow förstår hur värdefull din tid är och du kan därför nu låta vår inbyggda AI-funktion generera alt-texter.