Lag och rätt
Den 25 maj börjar den nya dataskyddsförordningen GDPR att gälla i hela EU. Lagen ska att skydda medborgarnas integritet och kan ställa nya krav på dig som fotograferar. Vi reder ut vad GDPR innebär för dig som fotograferar och för den som hanterar dina bilder.
GDRP står för General Data Protection Regulation, men kallas även i Sverige för Dataskyddsförordningen. GDPR bygger på Personuppgiftslagen PUL och ersätter den. Eftersom fotografier kan berätta saker som hur vi ser ut, var vi har varit och vem vi har varit tillsammans med så kan ett foto innehålla personuppgifter, och omfattas därför av dessa lagar.
Syftet med GDPR är först och främst är att ge ett stärkt skydd i våra allt mer digitaliserade liv. Lagen ställer därför hårda krav på hur företag, organisationer och myndigheter handskas med personuppgifter. De måste ha dokumenterade rutiner och hög säkerhet.
GDPR ger oss större kontroll över uppgifter om oss själva som företag, organisationer och myndigheter kan ha i sina register. Du kommer att märka att många företag kommer be om ditt samtycke för att lagra uppgifter om dig. När du så önskar kan du återkalla ditt samtycke och då måste uppgifterna om dig (bilderna) raderas. Men om uppgifterna lagras på annan rättslig grund än samtycke är det inte säkert att du har rätt att få dem raderade.
I princip gäller GDPR från det ögonblick kameran lagrar en bild av en annan person på din kameras minneskort. Men GDRP innehåller också flera undantag. För oss som fotograferar är undantagen nästan heltäckande. Undantagen är något färre när någon annan än fotografen hanterar bilderna, men det kommer vi till senare.
Undantag för den privata sfären
Den nya lagen rör alla inom EU, medborgare, företag, organisationer och myndigheter – men det finns flera undantag. Det du gör som privatperson inom ramen för din privata sfär är undantaget från GDPR. Detta kallas allmänt för privatundantaget och innebär bland annat att du får lov att ha lagra dina bilder digitalt och skicka dem till din vänner.
Det påstås ofta att GDPR inte gäller privatpersoner, men det är en misstolkning av lagen. Privatundantaget gäller den privata sfären. Om man som privatperson publicerar personuppgifter öppet på internet så har man gått utanför den privata sfären och gjort personuppgifterna offentliga. Det får man inte göra utan medgivande, eller utan att man omfattas av något annat undantag i GDPR. Men var inte orolig, för bilder finns det andra undantag som gör att du kan få publicera dina bilder på nätet.
Undantag för att skydda yttrandefriheten
Det står tydligt i GDPR att informations- och yttrandefriheten ska bevaras. GDPR ger därför undantag när man utövar sin informations- och yttrandefrihet. I GDPR nämns specifikt fyra områden: konstnärligt, journalistiskt, akademiskt och litterärt utövande, men det kan även finnas andra områden som omfattas av detta undantag.
Det konstnärliga undantaget omfattar i stort sett all fotografering. Den tolkningen gör Thomas Riesler, jurist Svenska Fotografers förbund, SFF, och stödjer sig på Upphovsrättslagen.
– Upphovsrättslagen jämställer fotografiska bilder med konstnärliga verk, och i stort sett alla bilder kan räknas som konstnärliga verk. Undantaget är möjligen bilder och video som tas med hjälp av så kallade bilkameror.
Den som fotograferar gör en rad kreativa val av utsnitt, vinkel, ljus, tajming, skärpedjup, slutartid med mera. Detta sker som regel inte när bilder tas med en fast monterad bilkamera.
Datainspektionen uppger till Fotosidan Magasin att det ska mycket till för att de ska ifrågasätta det konstnärliga undantaget. Samma undantag finns redan i PUL och Datainspektionen har bara haft invändning vid ett enda tillfälle.
– Som en generell regel ska Datainspektionen vara försiktig med att ifrågasätta om det framförs att en behandling av personuppgifter går under undantaget för konstnärligt skapande. Det finns faktiskt ett ärende där det konstnärliga ifrågasatts av Datainspektionen. Det var en konstnär som fick i uppdrag av Borlänge kommun att gestalta kommunens själ. Konstnären valde att publicera namnet på alla innevånare i kommunen på en webbplats. Denna behandling ansåg Datainspektionen vara i strid med personuppgiftslagen. Till saken hör att konstnären även publicerade uppgifter avseende personer med skyddad identitet, säger Jonas Agnvall, jurist på Datainspektionen.
Med andra ord så är det bara om det rör sig om mycket känsliga personuppgifter som Datainspektionen kan tänkas ifrågasätta om dina bilder ska omfattas av det konstnärliga undantaget.
GDPR nämner även att journalistisk, akademisk och litterär verksamhet ska undantas, och att tolkningen ska vara bred. Vad som menas med journalistisk verksamhet är lite luddigt, men det är klart att det gäller mer än journalistik utförd av yrkesverksamma journalister. Undantaget gäller även för samhällskritik och opinionsbildning. Många blogginlägg kan därför omfattas av detta undantag inklusive bilderna som publiceras.
Här hittar du lagtexten: Artikel 85 och beaktelsegrund 153
Utgivningsbevis för att slippa GDPR
Om en webbplats eller databas har ett utgivningsbevis så blir allt innehåll undantaget från GDPR. Detta kan vara ett bekvämt sätt att slippa undan GDPR. Då behöver man inte fundera över om det enskilda blogginlägget har journalistiskt innehåll.
– Genom att ordna access till sitt bildarkiv från sin webbplats och sedan skaffa utgivningsbevis för webbplatsen så kan organisationer och företag kringgå GDPR och slippa skaffa medgivande för alla bilder, säger Thomas Riesler.
Även privatpersoner kan ansöka om utgivningsbevis, men behovet kan vara större för organisationer och företag eftersom de inte täcks lika mycket av undantag som privatpersoner.
Ett utgivningsbevis gör inte att ett företag eller en organisation kan slippa GDPR helt. Det kan ändå behövas ett medgivande eller en intresseavvägning för att lagra en persons uppgifter i ett kundregister.
Lagliga grunder - Samtycke, avtal och intresseavvägning
I den här artikeln har vi vänt på ordningen och utgått från undantagen, eftersom det finns så många undantag som rör foto. Men det är bra att veta att i grunden krävs en laglig grund för att lagra personuppgifter (om det inte täcks av ett undantag). En rättslig grund kan evara ett samtycke, ett avtal eller att man gjort en intresseavvägning.
Ett företag som vill ta bilder av personalen behöver skaffa en laglig grund för att lagra och publicera bilderna. Om företaget väljer samtycke som laglig grund kan det ske muntligt, men det är inte att rekommendera. Det är bättre att spela in samtycket eller att göra det skriftligt. Det ska framgå vem som får lagra bilderna och hur länge. Den anställde kan när som helst återkalla sitt samtycke, och då måste bilderna raderas.
Den på företaget som är ansvarig att hämta in samtycke från de avbildade kallas personuppgiftsansvarig. I fall där fotografen direkt lämnar över bilderna till uppdragsgivaren klassas fotografen som personuppgiftsbiträde. Om fotografen väljer att först lagra bilderna hos sig kan det krävas ett separat samtycke, men i de flesta fall slipper man det tack vare det konstnärliga undantaget.
Företaget kan också välja att göra en intresseavvägning som laglig grund för lagringen. Då vägs företagets nytta av bilderna mot hur känsliga personuppgifter bilderna innehåller. Om intresseavvägningen kan fastställa att det finns ett "berättigat intresse" behövs inget samtycke. Processen måste dokumenteras.
Intresseavvägning kan vara den smidigaste lösningen om det skulle innebära mycket jobb eller vara omöjligt att inhämta samtycke. Det kan exempelvis gälla ett arkiv med äldre bilder.
Det finns en del generella regler i GDPR kring dokumentation och datasäkerhet som vi inte har plats för att gå in på i den här artikeln. Läs mer på Datainspektionens webbplats.
4 procent i böter
Eftersom GDPR i första hand tar sikte på att få kontroll över den massiva datainsamling som många stora företag ägnar sig åt kan bötesbeloppen bli stora för den som inte följer GDPR. Maxbeloppet är 4 procent av årsomsättningen upp till 20 miljoner euro. Datainspektionen räknar inte med att behöver utdela böter (sanktionsavgift) särskilt ofta, de kommer nämligen skicka ut två varningar först.
Datainspektionen kommer inte heller aktivt jaga småföretagare, de är ute efter större fiskar. Men om Datainspektionen får in en anmälan måste de ta ställning till om de ska gå vidare med fallet. Under åren med PUL har Datainspektionen fått in få anmälningar som rört bilder. Anmälningarna har som regel gällt mycket kränkande bilder, som privata nakenbilder som lagts ut på webben.
6 Kommentarer
Logga in för att kommentera
Hade du fotograferat åt ett företag eller en organisation så hade det räckt med att det fanns information vid entrén att fotografering pågår och vem man ska kontakta. Sen kan lagringen hos kunden täckas av en intresseavvägning.
/Fredric
Lagen om bild i reklam regerar detta och säger att identifierbara personer måste ge sitt samtycke om bilden används av en näringsidkare i reklam. Det behöver inte vara reklam att visa upp sina bilder, men om du klart och tydligt säljer dina tjänster med hjälp av bilder så måste du skaffa medgivande.
"1 § Näringsidkare får icke vid marknadsföring av vara, tjänst eller annan nyttighet använda framställning i vilken annans namn eller bild utnyttjas utan dennes samtycke. "
https://lagen.nu/1978:800
Tack i förhand för svaren
MEN en biofilm omfattas som regel av yttrandefriheten och är därmed undantagen GDPR, precis som en tidning eller en TV-kanal.
Om det kommer med personer på dina bilder är det inget problem eftersom du omfattas av flera olika undantag, främst privatundantaget och det konstnärliga undantaget. Det senare gör också att du får publicera bilden.
Den kan väl anses vara en organisation även om den är liten?
Går det att fortsätta att publicera t ex tävlingsresultat med de vinnande bilderna på klubbens hemsida? Givetvis tänker jag mig då att det är personer på bilderna. T ex en tävling i gatufoto. Bilderna innehåller kanske en eller flera personer.
Tack för svar!