Som Plus-medlem får du: Tillgång till våra Plus-artiklar | Egen blogg och Portfolio | Fri uppladdning av dina bilder | Rabatt på kameraförsäkring och fotoresor | 20% rabatt på Leofoto-stativ och tillbehör | Köp till Sveriges mest lästa fototidning Fotosidan Magasin till extra bra pris.

Plusmedlemskap kostar 349 kr per år

Annons
Artiklar > Så fungerar GDPR för fotografer

Så fungerar GDPR för fotografer

Den 25 maj börjar den nya dataskyddsförordningen GDPR att gälla i hela EU. Lagen ska att skydda medborgarnas integritet och kan ställa nya krav på dig som fotograferar. Vi reder ut vad GDPR innebär för dig som fotograferar och för den som hanterar dina bilder.

GDRP står för General Data Protection Regulation, men kallas även i Sverige för Dataskyddsförordningen. GDPR bygger på Personuppgiftslagen PUL och ersätter den. Eftersom fotografier kan berätta saker som hur vi ser ut, var vi har varit och vem vi har varit tillsammans med så kan ett foto innehålla personuppgifter, och omfattas därför av dessa lagar.

Syftet med GDPR är först och främst är att ge ett stärkt skydd i våra allt mer digitaliserade liv. Lagen ställer därför hårda krav på hur företag, organisationer och myndigheter handskas med personuppgifter. De måste ha dokumenterade rutiner och hög säkerhet.

GDPR ger oss större kontroll över uppgifter om oss själva som företag, organisationer och myndigheter kan ha i sina register. Du kommer att märka att många företag kommer be om ditt samtycke för att lagra uppgifter om dig. När du så önskar kan du återkalla ditt samtycke och då måste uppgifterna om dig (bilderna) raderas. Men om uppgifterna lagras på annan rättslig grund än samtycke är det inte säkert att du har rätt att få dem raderade.

I princip gäller GDPR från det ögonblick kameran lagrar en bild av en annan person på din kameras minneskort. Men GDRP innehåller också flera undantag. För oss som fotograferar är undantagen nästan heltäckande. Undantagen är något färre när någon annan än fotografen hanterar bilderna, men det kommer vi till senare.

Undantag för den privata sfären

Den nya lagen rör alla inom EU, medborgare, företag, organisationer och myndigheter – men det finns flera undantag. Det du gör som privat­person inom ramen för din privata sfär är undantaget från GDPR. Detta kallas allmänt för privatundantaget och innebär bland annat att du får lov att ha lagra dina bilder digitalt och skicka dem till din vänner.

Det påstås ofta att GDPR inte gäller privatpersoner, men det är en misstolkning av lagen. Privatundantaget gäller den privata sfären. Om man som privatperson publicerar personuppgifter öppet på internet så har man gått utanför den privata sfären och gjort personuppgifterna offentliga. Det får man inte göra utan medgivande, eller utan att man omfattas av något annat undantag i GDPR. Men var inte orolig, för bilder finns det andra undantag som gör att du kan få publicera dina bilder på nätet.

Undantag för att skydda yttrandefriheten

Det står tydligt i GDPR att informations- och yttrandefriheten ska bevaras. GDPR ger därför undantag när man utövar sin informations- och yttrandefrihet. I GDPR nämns specifikt fyra områden: konstnärligt, journalistiskt, akademiskt och litterärt utövande, men det kan även finnas andra områden som omfattas av detta undantag.

Det konstnärliga undantaget omfattar i stort sett all fotografering. Den tolkningen gör Thomas Riesler, jurist Svenska Fotografers förbund, SFF, och stödjer sig på Upphovsrättslagen.

– Upphovsrättslagen jämställer fotografiska bilder med konstnärliga verk, och i stort sett alla bilder kan räknas som konstnärliga verk. Undantaget är möjligen bilder och video som tas med hjälp av så kallade bilkameror.

Den som fotograferar gör en rad kreativa val av utsnitt, vinkel, ljus, tajming, skärpedjup, slutartid med mera. Detta sker som regel inte när bilder tas med en fast monterad bilkamera.

Datainspektionen uppger till Fotosidan Magasin att det ska mycket till för att de ska ifrågasätta det konstnärliga undantaget. Samma undantag finns redan i PUL och Datainspektionen har bara haft invändning vid ett enda tillfälle.

– Som en generell regel ska Datainspektionen vara försiktig med att ifrågasätta om det framförs att en behandling av personuppgifter går under undantaget för konstnärligt skapande. Det finns faktiskt ett ärende där det konstnärliga ifrågasatts av Datainspektionen. Det var en konstnär som fick i uppdrag av Borlänge kommun att gestalta kommunens själ. Konstnären valde att publicera namnet på alla innevånare i kommunen på en webbplats. Denna behandling ansåg Datainspektionen vara i strid med personuppgiftslagen. Till saken hör att konstnären även publicerade uppgifter avseende personer med skyddad identitet, säger Jonas Agnvall, jurist på Datainspektionen.

Med andra ord så är det bara om det rör sig om mycket känsliga personuppgifter som Datainspektionen kan tänkas ifrågasätta om dina bilder ska omfattas av det konstnärliga undantaget.

GDPR nämner även att journalistisk, akademisk och litterär verksamhet ska undantas, och att tolkningen ska vara bred. Vad som menas med journalistisk verksamhet är lite luddigt, men det är klart att det gäller mer än journalistik utförd av yrkesverksamma journalister. Undantaget gäller även för samhällskritik och opinionsbildning. Många blogginlägg kan därför omfattas av detta undantag inklusive bilderna som publiceras. 

Här hittar du lagtexten: Artikel 85 och beaktelsegrund 153

Utgivningsbevis för att slippa GDPR

Om en webbplats eller databas har ett utgivningsbevis så blir allt innehåll undantaget från GDPR. Detta kan vara ett bekvämt sätt att slippa undan GDPR. Då behöver man inte fundera över om det enskilda blogginlägget har journalistiskt innehåll.

– Genom att ordna access till sitt bildarkiv från sin webbplats och sedan skaffa utgivningsbevis för webbplatsen så kan organisationer och företag kringgå GDPR och slippa skaffa medgivande för alla bilder, säger Thomas Riesler.

Även privatpersoner kan ansöka om utgivningsbevis, men behovet kan vara större för organisationer och företag eftersom de inte täcks lika mycket av undantag som privatpersoner.

Ett utgivningsbevis gör inte att ett företag eller en organisation kan slippa GDPR helt. Det kan ändå behövas ett medgivande eller en intresseavvägning för att lagra en persons uppgifter i ett kundregister.

Lagliga grunder - Samtycke, avtal och intresseavvägning

I den här artikeln har vi vänt på ordningen och utgått från undantagen, eftersom det finns så många undantag som rör foto. Men det är bra att veta att i grunden krävs en laglig grund för att lagra personuppgifter (om det inte täcks av ett undantag). En rättslig grund kan evara ett samtycke, ett avtal eller att man gjort en intresseavvägning.

Ett företag som vill ta bilder av personalen behöver skaffa en laglig grund för att lagra och publicera bilderna. Om företaget väljer samtycke som laglig grund kan det ske muntligt, men det är inte att rekommendera. Det är bättre att spela in samtycket eller att göra det skriftligt. Det ska framgå vem som får lagra bilderna och hur länge. Den anställde kan när som helst återkalla sitt samtycke, och då måste bilderna raderas.

Den på företaget som är ansvarig att hämta in samtycke från de avbildade kallas personuppgiftsansvarig. I fall där fotografen direkt lämnar över bilderna till uppdragsgivaren klassas fotografen som personuppgiftsbiträde. Om fotografen väljer att först lagra bilderna hos sig kan det krävas ett separat samtycke, men i de flesta fall slipper man det tack vare det konstnärliga undantaget.

Företaget kan också välja att göra en intresseavvägning som laglig grund för lagringen. Då vägs företagets nytta av bilderna mot hur känsliga personuppgifter bilderna innehåller. Om intresseavvägningen kan fastställa att det finns ett "berättigat intresse" behövs inget samtycke. Processen måste dokumenteras. 

Intresseavvägning kan vara den smidigaste lösningen om det skulle innebära mycket jobb eller vara omöjligt att inhämta samtycke. Det kan exempelvis gälla ett arkiv med äldre bilder.

Det finns en del generella regler i GDPR kring dokumentation och datasäkerhet som vi inte har plats för att gå in på i den här artikeln. Läs mer på Datainspektionens webbplats.

4 procent i böter

Eftersom GDPR i första hand tar sikte på att få kontroll över den massiva datainsamling som många stora företag ägnar sig åt kan bötesbeloppen bli stora för den som inte följer GDPR. Maxbeloppet är 4 procent av årsomsättningen upp till 20 miljoner euro. Datainspektionen räknar inte med att behöver utdela böter (sanktionsavgift) särskilt ofta, de kommer nämligen skicka ut två varningar först.

Datainspektionen kommer inte heller aktivt jaga småföretagare, de är ute efter större fiskar.  Men om Datainspektionen får in en anmälan måste de ta ställning till om de ska gå vidare med fallet. Under åren med PUL har Datainspektionen fått in få anmälningar som rört bilder. Anmälningarna har som regel gällt mycket kränkande bilder, som privata nakenbilder som lagts ut på webben.



Publicerad 2018-05-14.

6 Kommentarer

Sweetlens 2018-05-16 01:03  
Har jag förstått rätt att innan en bröllopsfotografering, måste jag ha tillstånd från alla gäster för att lagra bilder där de syns?
Svar från froderberg 2018-05-16 10:11
Nej, det behöver du inte. När du tar bilderna omfattas de av det konstnärliga undantaget, när du levererar dem till kunden så omfattas de av deras privatundantag.

Hade du fotograferat åt ett företag eller en organisation så hade det räckt med att det fanns information vid entrén att fotografering pågår och vem man ska kontakta. Sen kan lagringen hos kunden täckas av en intresseavvägning.
l1nd3c0n 2018-05-16 12:58
Tackar för kort och lättläst svar i denna GDPR djungel.
fredric 2018-05-18 12:41
Och vad gäller om jag, som bröllopsfotograf, publicerar bröllopsbilder, där gäster syns, på min hemsida/blog i syfte att marknadsföra mina tjänster? Alt. i syfte att visa upp mina bilder
/Fredric
l1nd3c0n 2018-05-18 14:08
När det gäller publicering i reklamsyfte (oavsett GDPR) så har jag alltid sett till att få någon form av skriftlig bekräftelse.
Svar från froderberg 2018-05-23 23:15
"Och vad gäller om jag, som bröllopsfotograf, publicerar bröllopsbilder, där gäster syns, på min hemsida/blog i syfte att marknadsföra mina tjänster? Alt. i syfte att visa upp mina bilder"

Lagen om bild i reklam regerar detta och säger att identifierbara personer måste ge sitt samtycke om bilden används av en näringsidkare i reklam. Det behöver inte vara reklam att visa upp sina bilder, men om du klart och tydligt säljer dina tjänster med hjälp av bilder så måste du skaffa medgivande.

"1 § Näringsidkare får icke vid marknadsföring av vara, tjänst eller annan nyttighet använda framställning i vilken annans namn eller bild utnyttjas utan dennes samtycke. "
https://lagen.nu/1978:800
hamsi 2018-05-16 12:37  
Hur blir det för film branschen? D.v.s filmer som har spelats in och kommer upp på bio eller social media. Människor som syns på bakgrunden. Det är ju trots allt stillbilder som spelas in per ruta. Eller när man är ute och fotar landskap så finns det en massa som sitter eller går i bakgrunden, beroende vad man fotar men om vi tar t.ex. att du befinner dig mitt i stan ( Venedig ) och det kryllar med turister överallt. Vad gäller då

Tack i förhand för svaren
Svar från froderberg 2018-05-16 12:52
Det är sällan biofilmer innehåller bilder på personer som inte är engagerade statister eller skådespelare. Därmed innehåller bilderna i filmerna ett minimum av personuppgifter. Med den slutsatsen är det lätt att göra en intresseavvägning.
MEN en biofilm omfattas som regel av yttrandefriheten och är därmed undantagen GDPR, precis som en tidning eller en TV-kanal.

Om det kommer med personer på dina bilder är det inget problem eftersom du omfattas av flera olika undantag, främst privatundantaget och det konstnärliga undantaget. Det senare gör också att du får publicera bilden.
wheeler 2018-05-18 12:39  
Man är som privatperson ganska undantagen från GDPR men, hur ska man tolka det för t ex fotoklubb.
Den kan väl anses vara en organisation även om den är liten?

Går det att fortsätta att publicera t ex tävlingsresultat med de vinnande bilderna på klubbens hemsida? Givetvis tänker jag mig då att det är personer på bilderna. T ex en tävling i gatufoto. Bilderna innehåller kanske en eller flera personer.

Tack för svar!
ANNONS

Merläsning

ANNONS
Upp till 6000:- Cashback på Sony-prylar