Katarina Ladenfors är advokat och partner på Marlaw där hon är specialiserad på immaterialrätt och integritetskyddsjuridik. Hon är ett av de tyngsta namnen i Sverige när det kommer till frågor om GDPR och kommer, med start nu, att regelbundet blogga för Mediaflow gällande förändringar, tips och viktiga frågor kopplat till Dataskyddsförordningen. Här svarar Katarina på några av de vanligaste frågorna kring personuppgifter i video.
Avbildade personer i video klassas som personuppgifter
Om vi utgår ifrån att videon inte är en privat video för att visa familjesemestern utan en video som ska användas av en myndighet eller ett företag finns det flera aspekter att tänka på.
Dataskyddsförordningen, eller GDPR som förordningen kallas i dagligt tal, uppställer krav på all behandling av personuppgifter. Att avbilda en person genom film eller foto är en behandling av personuppgifter. Personuppgifter är nämligen all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om ett namn, en adress eller ett personnummer. Även film och ljudinspelningar som lagras digitalt kan vara personuppgifter oavsett om det nämns namn eller inte i inspelningen.
Du måste informera medverkande om GDPR
Jo, det innebär att du måste säkerställa att de som är med i filmen har fått information om hur ni behandlar personuppgifterna, det vill säga bilderna i filmen. För att uppfylla informationskraven måste den vars personuppgifter behandlas få all den information som GDPR kräver. Det är utförlig information som krävs om bland annat ändamålet med behandlingen och hur länge uppgifterna ska lagras. Utöver kravet på information innebär GDPR att ni som organisation måste fastställa en laglig grund för behandlingen. Grunden kan vara avtal att medverka. I avtalet bygger ni lämpligen in alla de informationskrav som GDPR uppställer.
Samtycke eller annat GDPR-avtal?
Det finns flera fallgropar när det gäller vilken laglig grund som ska användas. En sådan är att ett samtycke används istället för ett avtal. Ett samtycke ska enligt GDPR vara lika lätt att ge som att återkalla och om syftet är att filmen ska användas under flera år och ligga uppe på webbplatsen kan det vara opraktiskt med ett samtycke som en medverkande återkallar. Det kan också vara så att ett samtycke är en olämplig rättslig grund om den som samtycker är i beroendeställning till den som ska använda videon, exempelvis en person i ett anställningsförhållande.
En annan fallgrop är att organisationen inte uppmärksammar att GDPR gäller på samma sätt för anställda som externa medverkande.
Ytterligare en fallgrop är att glömma bort annan lagstiftning som kan bli aktuell. Det kan finnas upphovsrätt som behöver regleras om det är en extern part som anlitats för att skapa filmen. Slutligen kan lagen om namn och bild i reklam bli tillämplig som filmen används som reklam eller om det är en film för rekrytering. Vid rekryteringsannonsering gäller lagen om namn och bild i reklam oavsett om avsändaren är en myndighet eller ett företag och oavsett om den som medverkar är anställd eller extern.
Finns det tips på hur vi ska hitta rätt i den legala djungeln?
Min rekommendation är att skapa en rutin för bild och film som kan användas som vägledning inom organisationen. Den bör bland annat innehålla vägledning för vilken rättslig grund som ska användas, hur information ska ges och hur upphovsrätten ska hanteras. Den ska också kunna visas upp om tillsynsmyndigheten IMY vill se hur organisationen behandlar personuppgifter inom kommunikation. Ett grundläggande krav enligt GDPR är att organisationen ska dokumentera hur GDPR efterlevs och kommunikation är ofta ett område som glöms bort.
Läs mer från Katarina Ladenfors: