Krönika | 11 Dec 2017 | Thomas Riesler

Fotografer kommer påverkas av den nya lagen GDPR

SFF:s jurist Thomas Riesler skriver här hur den nya dataskyddsförordningen kommer att påverka fotografer.

GDPR (General Data Protection Regulation) eller på svenska EU:s allmänna dataskyddsförordning är en tvingande lagstiftning på rättsområdet personlig integritet som träder i kraft 25 maj 2018. Den påverkar alla som på något sätt behandlar personuppgifter. En personuppgift är en uppgift som direkt eller indirekt kan kopplas till en nu levande person. Exempel på personuppgifter är fotografier på personer, namn, e-postadresser, telefonnummer, registreringsnummer på fordon med mera.

För att få använda eller behandla dessa uppgifter krävs att du har en laglig grund till behandlingen. Exempel på sådan laglig grund är att behandlingen krävs på grund av ett avtal du har med den vars personuppgifter du behandlar, men det kan också grundas på ett samtycke av denne.

Behandling av personuppgifter är i princip all befattning du tar och alla åtgärder du vidtar med uppgifterna, såsom exempelvis insamling, registrering, lagring, spridning men även radering.

Om du har ett uppdrag av en privatperson som innebär att ta porträttfoton på denne så är avtalet tillräcklig grund för att du ska få behandla dennes personuppgifter. Men endast i den omfattning som krävs för uppdraget. Detta innebär exempelvis att utan särskilt samtycke från din kund får du inte lagra fotografiet längre än tills ditt avtal med denne är fullgjort. Om ni har avtalat om att du ska lagra fotografiet enligt SFF:s rekommendationer (”fem år från tidpunkten för leverans”) så måste du enligt den allmänna dataskyddsförordningen radera uppgifterna när denna tidpunkt passerats.

Och detta gäller alla typer av lagrade original och kopior, digitala som analoga. Har du och din kund inte avtalat om att du ska lagra fotografierna så innebär det att du måste avlägsna dem från alla lagringsplatser och medier du förvarar fotografierna på. Det blir därför mycket viktig vad du kommer överens om med din kund.

Om du har ett beställningsavtal med ett företag om porträttfoto av de anställda krävs att de anställda lämnat sitt samtycke till behandlingen av personuppgifterna. Här räcker alltså inte avtalet med företaget för att behandlingen av de anställdas personuppgifter ska vara tillåten. Anledningen är förstås att personuppgifterna tillhör den anställde privat och inte företaget. Däremot kan du avtala med företaget att inhämta de samtycken som krävs för den aktuella personuppgiftsbehandlingen. Vad den ska vara i det individuella fallet är förstås svårt att säga, men rent allmänt skulle samtycken kunna avse själva fotograferingen (registrering), förvaringen på minneskort i kameran och vidare till din hårddisk (lagring), bearbetning (retuschering i datorprogram av fotografiet), användning på företagets hemsida (spridning) och radering (efter ett visst antal år). Vill du ha kvar uppgifterna på din hårddisk och/eller hemsida måste du få samtycke till även detta av personen på bilden.

Varför införs denna lagstiftning och på vilket sätt skiljer den sig från den tidigare personuppgiftslagen? Den skiljer sig främst vad gäller detaljrikedomen i vad som regleras, men framför allt i de ekonomiska sanktionerna. GDPR ställer både stora krav på efterlevnad och sanktionerar felaktig personuppgiftshantering strängt: ända upp till 20 miljoner euro eller 4 procent  av organisationens globala omsättning. Det innebär att en felaktig behandling kan få stora ekonomiska konsekvenser, även för det lilla företaget, så det är viktigt att du som är fotograf förbereder dig och din verksamhet ordentligt på de nya reglerna. Att se över vilka typer av personuppgifter du behandlar och vilken typ av behandling du utför utgör ett minimum av aktivitet för att förbereda dig inför den nya dataskyddslagen.

Den så kallade ”missbruksregeln” som finns i personuppgiftslagen kommer inte längre att gälla när den nya dataskyddsförordningen börjar tillämpas. Enligt denna regel kunde ”ostrukturerat” material, det vill säga text och bild i en löpande illustrerad text, få användas utan samtycke från de som förekom i texten och på bilderna under förutsättning att materialet inte kränker personernas integritet. Ändringen innebär att samtliga behandlingar av personuppgifter måste baseras på exempelvis avtal eller samtycke.

Dessutom arbetar man just nu inom EU med en EU-variant på lagen om namn och bild i reklam, det vill säga den lag som handlar om hur man får använda personuppgifter (exempelvis personnamn och fotografier på personer) i marknadsföringssammanhang. När den kommer är dock ännu skrivet i stjärnorna, men du kan lita på att SFF håller ögonen öppna och bevakar dina möjligheter och rättigheter. Vi har redan nu förberett en checklista på vad du behöver gå igenom för att känna dig trygg. 

Fler frågor och svar om nya förordningen kan du läsa om här. Läs mer

Den 29:e januari håller vi en halvdagskurs för våra medlemmar. Läs mer och anmäl dig här.

Har du egna frågor du vill ställla om GDPR. Ställ dem här.