GDPR


Det finns mÄnga funderingar kring GDPR som egentligen inte skiljer sig sÄ mycket frÄn föregÄngaren UpphovsrÀttslagen och personupgiftslagen. GDPR har försökt att precisera lagen mer, vilket pÄ ett sÀtt gör det mer krÄngligt. Det finns mÄnga om och men och sÀtt att "kringgÄ" lagen. Huvudsyftet med GDPR Àr att kontrollera stora företag som Facebook, google och likannde att inte nyttja vÄra personuppgifter.


NĂ€r DU Ă€r med pĂ„ bild? SĂ„ har du oftast skrivit kontrakt med mig eller i en muntlig överenskommelse valt att stĂ€lla dig framför min kamera. Även muntliga avtal gĂ€ller (Ă€ven om de Ă€r svĂ„rare att bevisa) och det faktum att du sjĂ€lv agerar och poserar pĂ„ bilderna Ă€r ett slags medgivande. MĂ„-foto Ă€ger rĂ€tten till bilderna precis som en konstnĂ€r Ă€ger sitt verk i form av tavla, staty, design, trademark eller vad de nu kan vara. I huvudsak Ă€r sĂ„klart mĂ„-fotos syfte

att dela och sprida sina fotografiska verk i olika medier och aldrig att krÀnka eller sÄra nÄgon.


NÀr det gÀller försÀljning av bilder (dÀr du kan identifieras) krÀvs ett skriftligt tillstÄnd dÀr du intygar att det Àr OK.

Samtliga av mina nya kontrakt (2018-06) innehÄller den paragrafen nu.




Lagen styr över behandlingen av bilderna

GDPR pĂ„minner i stort med nuvarande personuppgiftsslag. Enligt Thomas Ă€r det mycket som Ă€r likt. Det handlar fortfarande om uppgifter som kan knytas till en nu levande person, till exempel namn, adress, personnummer och IP-nummer men Ă€ven klĂ€dsel, hĂ„rfĂ€rg och tatueringar. 

– Allt som gĂ„r att koppla till nĂ„gon, som bidrar till att identifiera en person – det Ă€r en personuppgift, sĂ€ger Thomas.

Även bilder Ă€r personuppgifter, om det finns personer pĂ„ bilderna som gĂ„r att identifiera. 

Lagen styr sedan över sjĂ€lva behandlingen av uppgifterna, vilket omfattar alla Ă„tgĂ€rder som vidtas med personuppgiften, frĂ„n registrering – i fotografens fall nĂ€r man trycker pĂ„ knappen – fram till det att uppgifterna tas bort, som nĂ€r bilder raderas frĂ„n ett minneskort eller en hĂ„rddisk. Hela den hanteringen krĂ€ver tillstĂ„nd, det Ă€r utgĂ„ngspunkten i GDPR. 

För dig som fotograf finns det framför allt tre rĂ€ttsliga grunder för detta: samtycke, avtal eller intresseavvĂ€gning. 


Samtycke, avtal eller intresseavvÀgning

Samtycke innebĂ€r att du frĂ„gar den du fotograferar, för att fĂ„ ett tillstĂ„nd. Samtycket bör, enligt GDPR, dĂ„ lĂ€mnas ”genom en entydig bekrĂ€ftande handling som innebĂ€r ett frivilligt, specifikt, informerat och otvetydigt medgivande frĂ„n den registrerades sida om att denne godkĂ€nner behandling av personuppgifter rörande honom eller henne”. 

Lagen stĂ€ller inga krav pĂ„ i vilken form du gör det, det vill sĂ€ga: du mĂ„ste inte göra det skriftligt men det Ă€r förstĂ„s svĂ„rt att bevisa en muntlig överenskommelse.  

– Folk tenderar ju att glömma, och möjligtvis göra om saker och ting. Och av den anledningen Ă€r skriftligt bĂ€st. Men det gĂ„r ocksĂ„ bra om man kan tydliggöra med en inspelning, förklarar Thomas.

Ett avtal faststĂ€lls till exempel dĂ„ en privatperson bestĂ€ller en fotografering av dig, för att hon eller han vill bli portrĂ€tterad. AlltsĂ„ nĂ€r nĂ„gon köper en tjĂ€nst av dig, och dĂ€r ni dĂ„ avtalar kring hur bilderna sedan ska fĂ„ anvĂ€ndas. 

Den tredje rĂ€ttsliga grunden, intresseavvĂ€gning, kan bli aktuell dĂ„ det varken finns ett samtycke eller avtal. 

– DĂ„ vĂ€ger man sitt eget intresse av att göra den hĂ€r behandlingen mot den vars personuppgifter det gĂ€ller. AlltsĂ„ om det av nĂ„gon anledning kan vara viktigare att du fĂ„r behandla de hĂ€r bilderna Ă€n att den personliga integriteten bevaras hos dem som syns pĂ„ bilderna.


Är det alla fotografer som behöver ta hĂ€nsyn till lagen, och skaffa tillstĂ„nd? 

– GDPR gĂ€ller inte för privatpersoner, i det som de gör i sin privata verksamhet. Det Ă€r den tydliga skiljelinjen. Sen kan det Ă€ndĂ„ vara sĂ„ att vissa saker hamnar utanför det privata. 

Sociala medier Àr ett tydligt exempel pÄ det, menar Thomas.

– Om man tĂ€nker sig Facebook, dĂ€r du kanske har en sluten grupp bestĂ„ende av dig och dina tre syskon, samt mamma och pappa. DĂ„ kan man nog sĂ€ga att bilder som hamnar dĂ€r ligger inom den privata sfĂ€ren. Men sĂ€g att du har 200–300 vĂ€nner och publicerar bilder för dem, eller om du gör det offentligt: dĂ„ hamnar du troligen utanför den privata sfĂ€ren. 

Med andra ord: I de fallen ska Ă€ven en privatperson ta hĂ€nsyn till GDPR. 

Men vĂ€nta nu – innebĂ€r det hĂ€r att alla fotoentusiaster mĂ„ste springa runt pĂ„ stan och samla in samtycken frĂ„n alla som de fotograferar? Nej, var lugn. Det finns flera undantag i lagen, och dessutom ett enkelt sĂ€tt att kringgĂ„ allt. 


Undantag: KonstnÀrligt eller journalistiskt

Även om GDPR Ă€r en EU-lag som gĂ€ller för alla medlemslĂ€nder, finns det pĂ„ nationell nivĂ„ möjlighet att göra inskrĂ€nkningar i lagen. Bland annat undantas lagar kring yttrande- och informationsfrihet. I Sverige innebĂ€r det att all behandling som omfattas av Tryckfrihetsförordningen (TL) och Yttrandefrihetsgrundlagen (YGL) faller utanför GDPR. Men Ă€ven behandling av personuppgifter som sker utan koppling till TF och YGL undantas om ditt syfte Ă€r journalistiskt, konstnĂ€rligt, litterĂ€rt eller akademiskt skapande.


Journalistiskt, innebÀr det att man ger ut en tidning eller bedriver nÄgon annan form av medial verksamhet?

– Det behöver inte vara professionellt. Det kan Ă€ven vara nĂ„gon form av opinionsbildning, att man vill visa pĂ„ ett missförhĂ„llande och gör det pĂ„ ett sĂ„dant sĂ€tt att det kommer allmĂ€nheten till kĂ€nnedom, pĂ„ ett journalistiskt sĂ€tt. 


Kan en blogg tolkas som en journalistisk produkt?

– Det skulle den kunna göra, om den har ett journalistiskt innehĂ„ll och ett journalistiskt syfte. DĂ„ fĂ„r man titta pĂ„ det enskilda fallet. Om det Ă€r nĂ„gon som skriver ”min granne Ă€r inte klok i huvudet, han spelar musik dagarna i Ă€nda”, dĂ„ kanske inte det Ă€r journalistiskt utan materialet behöver ha ett bredare anslag.


KrÀvs det att verksamheten har ett utgivningsbevis, för att kallas journalistisk?

– Nej.


Men det pratas mycket om utgivningsbevis, kopplat till GDPR. Varför dÄ?

– Ja, det Ă€r ett sĂ€tt att kringgĂ„ GDPR pĂ„ ett enkelt sĂ€tt. Det vill sĂ€ga att slippa diskussionen med Datainspektionen som Ă€r granskande myndighet för GDPR. Ett utgivningsbevis skaffar du frĂ„n ”Myndigheten för press, radio och tv”, kostar ett par tusen kronor och Ă€r hyffsat enkelt att fĂ„. 


Kan Àven en privatperson fÄ ett utgivningsbevis?

– Ja, om man har nĂ„gon form av webbsida eller databas. 

HĂ€nger du med? Vi tar det igen i en sammanfattning: Om ditt fotograferande kan anses vara journalistiskt eller konstnĂ€rligt behöver du inte stödja din verksamhet pĂ„ nĂ„gon av de rĂ€ttsliga grunderna: samtycke, avtal eller intresseavvĂ€gning. Detta gĂ€ller oavsett om du Ă€r professionell eller amatör. Och om dina bilder inte kan anses ingĂ„ i nĂ„got av undantagen, sĂ„som det konstnĂ€rliga, kan du Ă€ndĂ„ med hjĂ€lp av ett utgivningsbevis kĂ€nna dig trygg – för dĂ„ passerar du under ”GDPR-radarn”. Men dĂ„ krĂ€vs det att du har en webbsida eller databas, för att fĂ„ utgivningsbevis.


MÄnga hobbyfotografer gillar att fotografera pÄ stan, sÄ kallad gatufotografering. Kan det anses ingÄ i kategorin konstnÀrligt eller journalistiskt?

– Det skulle jag nog sĂ€ga. För jag vet inte var man annars skulle lĂ€gga in det.

AlltsĂ„ kan en gatufotograf fortsĂ€tta att fotografera pĂ„ allmĂ€n plats, och sĂ„ lĂ€nge de bilderna sedan i efterhand behandlas enligt konstnĂ€rliga Ă€ndamĂ„l eller omfattas av TF eller YGL, kan de spridas i till exempel sociala medier. 


Även Ă€ldre bilder omfattas av nya lagen 

För den yrkesverksamme fotografen kommer GDPR innebĂ€ra vĂ€sentligen mycket mer att tĂ€nka pĂ„, som till exempel hur man hanterar personuppgifter i kundregister och arkiv. 

Den nya lagen gĂ€ller inte bara för de bilder som du fotograferar frĂ„n och med den 25 maj 2018, utan Ă€ven alla tidigare bilder som du har i ditt arkiv – om bilderna förestĂ€ller nu levande och identifierbara personer. 

Men, Äterigen, Àr bilderna ett resultat av ett konstnÀrligt skapande eller har ett journalistiskt ÀndamÄl gÀller inte GDPR för dina arkivbilder. Men om samma bilder skulle börja anvÀndas i till exempel kommersiella sammanhang, dÄ kan GDPR gÀlla och du mÄste skriva ett avtal eller skaffa dig ett samtycke.


KrĂ€vs samtycken för personalbilder 

En vanlig situation för mĂ„nga yrkesfotografer kan vara att ett företag anlitar dig för att ta bilder av personalen. I de fallen behöver bĂ„de företaget och du som fotograf fĂ„ samtycken frĂ„n respektive anstĂ€lld, för att bilderna ska fĂ„ hanteras. AlltsĂ„ krĂ€vs det tvĂ„ olika samtycken, men rent praktiskt kan det vara lĂ€ttast om företaget ansvarar för att samla in Ă€ven de som tĂ€cker din bildhantering. 

– Samtyckena ska vara frivilliga. Sen Ă€r förstĂ„s frĂ„gan hur den anstĂ€llde upplever situationen nĂ€r en arbetsgivare sĂ€ger: ”nu ska du fotograferas, vill du vara vĂ€nlig och samtycka till att vi fotograferar dig och lĂ€gger upp bilden pĂ„ hemsidan”. Men om det finns ett reellt alternativ, att man verkligen fĂ„r vĂ€lja bort, dĂ„ Ă€r det frivilligt.

Det Ă€r inte ovanligt att ett företag och en fotograf har en överenskommelse via ett avtal, som bestĂ€llare och leverantör. Men Ă€ven om det finns ett sĂ„dant avtal mĂ„ste du Ă€ndĂ„ som fotograf fĂ„ samtycken frĂ„n företagets personal nĂ€r de ska fotograferas. För det Ă€r respektive anstĂ€lld som Ă€ger rĂ€tten till sina personuppgifter, inte företaget. 


Bör det i ett avtal Àven framgÄ hur lÀnge fotografen fÄr spara bilderna?

– Ja, det Ă€r bra om det framgĂ„r av avtalet. Vi rekommenderar vĂ„ra medlemmar (inom Svenska Fotografers Förbund) att de sparar bilderna i fem Ă„r, som ett erbjudande för sina uppdragsgivare. Det skulle förstĂ„s kunna vara en Ă€nnu lĂ€ngre lagringstid, egentligen för hela upphovsrĂ€ttens lĂ€ngd – det vill sĂ€ga 70 Ă„r efter upphovsmannens död. 


Har man enligt GDPR rÀtt att ha kvar bilderna efter det att avtalet löpt ut?

– Nej, i princip inte.


PersonuppgiftsbitrĂ€de – inte ansvarig

Vad som ytterligare framgĂ„r av förordningen Ă€r att GDPR skiljer pĂ„ personuppgiftsansvarig och personuppgiftsbitrĂ€de, vilket innebĂ€r att den sistnĂ€mnde agerar pĂ„ uppdrag av den ansvarige. Det betyder att bitrĂ€det inte har nĂ„got eget ansvar utanför sjĂ€lva uppdraget. 

En sĂ„dan situation kan vara nĂ€r en privatperson tar bilder under ett evenemang, pĂ„ uppdrag av till exempel ett företag eller förening. SĂ„ lĂ€nge fotografen (bitrĂ€det) inte tar nĂ„gra egna initiativ till att anvĂ€nda bilderna, utan bara levererar dem till uppdragsgivaren, behöver inte bitrĂ€det ansvara för den fortsatta hanteringen av bilderna – och fĂ„ samtycken för publiceringar. Den biten fĂ„r den personuppgiftsansvarige sköta, och mĂ„ste Ă€ven tĂ€nka pĂ„ vad som gĂ€ller i sammanhang dĂ€r minderĂ„riga syns pĂ„ bilderna. DĂ„ mĂ„ste den ansvarige se till att barnets vĂ„rdnadshavare har gett sitt samtycke, om barnet inte sjĂ€lv förstĂ„r innebörden av samtycket. Tumregeln Ă€r barn under 15 Ă„r.


”Missbruksregeln” försvinner

En förĂ€ndring med GDPR Ă€r att den sĂ„ kallade ”missbruksregeln” försvinner, som numera finns i personuppgiftslagen. Den regeln innebĂ€r att ”ostrukturerat” material, det vill sĂ€ga text och bild i en löpande text, fĂ„r anvĂ€ndas utan samtycke frĂ„n de som förekommer i texten och pĂ„ bilderna – under förutsĂ€ttning att materialet inte krĂ€nker personernas integritet. I och med GDPR ska den hĂ€r typen av text- och bildmaterial behandlas pĂ„ samma sĂ€tt som till exempel strukturerade bilddatabaser, och mĂ„ste dĂ€rmed ha en rĂ€ttslig grund för hanteringen – sĂ„som avtal eller samtycke.


Enligt GDPR har vi rÀtt att fÄ ut information som finns samlad om en sjÀlv. Vad innebÀr det?

– Det innebĂ€r att den information du har som fotograf, om den inte finns inom den privata sfĂ€ren, mĂ„ste kunna lĂ€mnas ut pĂ„ begĂ€ran inom rimlig tid. 


MÄste Àven en privatperson kunna lÀmna ut information?

– Under förutsĂ€ttning att det inte Ă€r bilder som finns inom den privata sfĂ€ren eller att du inte kan anvĂ€nda dig av undantagen konstnĂ€rligt eller journalistiskt skapande. DĂ„ kan du bli tvungen att lĂ€mna ut.

Anledningen till att den hĂ€r möjligheten finns, Ă€r kopplad till det som kallas för ”rĂ€tten att bli glömd”. Vi har rĂ€tt att fĂ„ ut information som berör vĂ„ra personuppgifter, och kan Ă€ven i vissa fall krĂ€va att de tas bort. Det gĂ€ller bland annat i de fall dĂ„ uppgifterna inte lĂ€ngre behövs för de Ă€ndamĂ„l som de samlades in för, eller om behandlingen grundar sig pĂ„ den enskildes samtycke och denne Ă„terkallar samtycket.


Om man bryter mot GDPR, vad hĂ€nder dĂ„? 

– Man kan fĂ„ böta upp till 20 miljoner euro, eller fyra procent av den globala omsĂ€ttningen. SĂ„ det kan bli kĂ€nnbart.

Men Thomas menar samtidigt att GDPR inte i första hand tar sikte pĂ„ fotografer och smĂ„företagare. Utan lagen har kommit till mycket pĂ„ grund av stora aktörer som Facebook och Google – de som behandlar en stor mĂ€ngd data och personuppgifter.

– Facebook samlar in bĂ„de namn, bild och GPS-positionering samt vilka annonser du klickar pĂ„, vilka filmer du tittar pĂ„ och hur lĂ€nge du ser dem. Det hĂ€r bidrar till att profilera mediekonsumenter, uppgifter som de delar eller sĂ€ljer till sina samarbetspartners. Och det Ă€r det, det handlar om.


Det ska bli svÄrare för dem att göra sÄ?

– Om inte annat kommer GDPR förĂ€ndra deras sĂ€tt att samla in information alternativt hur de delar den. Eller sĂ„ gör de bara en Ă€ndring i anvĂ€ndarvillkoren. Det Ă„terstĂ„r att se. Vi har gett dem vĂ€ldigt mycket information över Ă„ren och det Ă€r priset för att vi fĂ„r anvĂ€nda deras tjĂ€nster, det ska man vara pĂ„ det klara med.


KÄLLA: https://www.kamerabild.se/nyheter/lag-upphovsr-tt/gdpr-s-p-verkas-fotografer-av-den-nya-lagen