Det finns många funderingar kring GDPR som egentligen inte skiljer sig så mycket från föregångaren Upphovsrättslagen och personupgiftslagen. GDPR har försökt att precisera lagen mer, vilket på ett sätt gör det mer krångligt. Det finns många om och men och sätt att ”kringgå” lagen. Huvudsyftet med GDPR är att kontrollera stora företag som Facebook, google och likannde att inte nyttja våra personuppgifter.
När DU är med på bild? Så har du oftast skrivit kontrakt med mig eller i en muntlig överenskommelse valt att ställa dig framför min kamera. Även muntliga avtal gäller (även om de är svårare att bevisa) och det faktum att du själv agerar och poserar på bilderna är ett slags medgivande. Må-foto äger rätten till bilderna precis som en konstnär äger sitt verk i form av tavla, staty, design, trademark eller vad de nu kan vara. I huvudsak är såklart må-fotos syfte att dela och sprida sina fotografiska verk i olika medier och aldrig att kränka eller såra någon.
När det gäller försäljning av bilder (där du kan identifieras) krävs ett skriftligt tillstånd där du intygar att det är OK.
Samtliga av mina nya kontrakt (2018-) innehåller den paragrafen nu.
Lagen styr över behandlingen av bilderna
GDPR påminner i stort med nuvarande personuppgiftsslag. Enligt Thomas är det mycket som är likt. Det handlar fortfarande om uppgifter som kan knytas till en nu levande person, till exempel namn, adress, personnummer och IP-nummer men även klädsel, hårfärg och tatueringar.
– Allt som går att koppla till någon, som bidrar till att identifiera en person – det är en personuppgift, säger Thomas.
Även bilder är personuppgifter, om det finns personer på bilderna som går att identifiera.
Lagen styr sedan över själva behandlingen av uppgifterna, vilket omfattar alla åtgärder som vidtas med personuppgiften, från registrering – i fotografens fall när man trycker på knappen – fram till det att uppgifterna tas bort, som när bilder raderas från ett minneskort eller en hårddisk. Hela den hanteringen kräver tillstånd, det är utgångspunkten i GDPR.
För dig som fotograf finns det framför allt tre rättsliga grunder för detta: samtycke, avtal eller intresseavvägning.
Samtycke, avtal eller intresseavvägning
Samtycke innebär att du frågar den du fotograferar, för att få ett tillstånd. Samtycket bör, enligt GDPR, då lämnas ”genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne”.
Lagen ställer inga krav på i vilken form du gör det, det vill säga: du måste inte göra det skriftligt men det är förstås svårt att bevisa en muntlig överenskommelse.
– Folk tenderar ju att glömma, och möjligtvis göra om saker och ting. Och av den anledningen är skriftligt bäst. Men det går också bra om man kan tydliggöra med en inspelning, förklarar Thomas.
Ett avtal fastställs till exempel då en privatperson beställer en fotografering av dig, för att hon eller han vill bli porträtterad. Alltså när någon köper en tjänst av dig, och där ni då avtalar kring hur bilderna sedan ska få användas.
Den tredje rättsliga grunden, intresseavvägning, kan bli aktuell då det varken finns ett samtycke eller avtal.
– Då väger man sitt eget intresse av att göra den här behandlingen mot den vars personuppgifter det gäller. Alltså om det av någon anledning kan vara viktigare att du får behandla de här bilderna än att den personliga integriteten bevaras hos dem som syns på bilderna.
Är det alla fotografer som behöver ta hänsyn till lagen, och skaffa tillstånd?
– GDPR gäller inte för privatpersoner, i det som de gör i sin privata verksamhet. Det är den tydliga skiljelinjen. Sen kan det ändå vara så att vissa saker hamnar utanför det privata.
Sociala medier är ett tydligt exempel på det, menar Thomas.
– Om man tänker sig Facebook, där du kanske har en sluten grupp bestående av dig och dina tre syskon, samt mamma och pappa. Då kan man nog säga att bilder som hamnar där ligger inom den privata sfären. Men säg att du har 200–300 vänner och publicerar bilder för dem, eller om du gör det offentligt: då hamnar du troligen utanför den privata sfären.
Med andra ord: I de fallen ska även en privatperson ta hänsyn till GDPR.
Men vänta nu – innebär det här att alla fotoentusiaster måste springa runt på stan och samla in samtycken från alla som de fotograferar? Nej, var lugn. Det finns flera undantag i lagen, och dessutom ett enkelt sätt att kringgå allt.
Undantag: Konstnärligt eller journalistiskt
Även om GDPR är en EU-lag som gäller för alla medlemsländer, finns det på nationell nivå möjlighet att göra inskränkningar i lagen. Bland annat undantas lagar kring yttrande- och informationsfrihet. I Sverige innebär det att all behandling som omfattas av Tryckfrihetsförordningen (TL) och Yttrandefrihetsgrundlagen (YGL) faller utanför GDPR. Men även behandling av personuppgifter som sker utan koppling till TF och YGL undantas om ditt syfte är journalistiskt, konstnärligt, litterärt eller akademiskt skapande.
Journalistiskt, innebär det att man ger ut en tidning eller bedriver någon annan form av medial verksamhet?
– Det behöver inte vara professionellt. Det kan även vara någon form av opinionsbildning, att man vill visa på ett missförhållande och gör det på ett sådant sätt att det kommer allmänheten till kännedom, på ett journalistiskt sätt.
Kan en blogg tolkas som en journalistisk produkt?
– Det skulle den kunna göra, om den har ett journalistiskt innehåll och ett journalistiskt syfte. Då får man titta på det enskilda fallet. Om det är någon som skriver ”min granne är inte klok i huvudet, han spelar musik dagarna i ända”, då kanske inte det är journalistiskt utan materialet behöver ha ett bredare anslag.
Krävs det att verksamheten har ett utgivningsbevis, för att kallas journalistisk?
– Nej.
Men det pratas mycket om utgivningsbevis, kopplat till GDPR. Varför då?
– Ja, det är ett sätt att kringgå GDPR på ett enkelt sätt. Det vill säga att slippa diskussionen med Datainspektionen som är granskande myndighet för GDPR. Ett utgivningsbevis skaffar du från ”Myndigheten för press, radio och tv”, kostar ett par tusen kronor och är hyffsat enkelt att få.
Kan även en privatperson få ett utgivningsbevis?
– Ja, om man har någon form av webbsida eller databas.
Hänger du med? Vi tar det igen i en sammanfattning: Om ditt fotograferande kan anses vara journalistiskt eller konstnärligt behöver du inte stödja din verksamhet på någon av de rättsliga grunderna: samtycke, avtal eller intresseavvägning. Detta gäller oavsett om du är professionell eller amatör. Och om dina bilder inte kan anses ingå i något av undantagen, såsom det konstnärliga, kan du ändå med hjälp av ett utgivningsbevis känna dig trygg – för då passerar du under ”GDPR-radarn”. Men då krävs det att du har en webbsida eller databas, för att få utgivningsbevis.
Många hobbyfotografer gillar att fotografera på stan, så kallad gatufotografering. Kan det anses ingå i kategorin konstnärligt eller journalistiskt?
– Det skulle jag nog säga. För jag vet inte var man annars skulle lägga in det.
Alltså kan en gatufotograf fortsätta att fotografera på allmän plats, och så länge de bilderna sedan i efterhand behandlas enligt konstnärliga ändamål eller omfattas av TF eller YGL, kan de spridas i till exempel sociala medier.
Även äldre bilder omfattas av nya lagen
För den yrkesverksamme fotografen kommer GDPR innebära väsentligen mycket mer att tänka på, som till exempel hur man hanterar personuppgifter i kundregister och arkiv.
Den nya lagen gäller inte bara för de bilder som du fotograferar från och med den 25 maj 2018, utan även alla tidigare bilder som du har i ditt arkiv – om bilderna föreställer nu levande och identifierbara personer.
Men, återigen, är bilderna ett resultat av ett konstnärligt skapande eller har ett journalistiskt ändamål gäller inte GDPR för dina arkivbilder. Men om samma bilder skulle börja användas i till exempel kommersiella sammanhang, då kan GDPR gälla och du måste skriva ett avtal eller skaffa dig ett samtycke.
Krävs samtycken för personalbilder
En vanlig situation för många yrkesfotografer kan vara att ett företag anlitar dig för att ta bilder av personalen. I de fallen behöver både företaget och du som fotograf få samtycken från respektive anställd, för att bilderna ska få hanteras. Alltså krävs det två olika samtycken, men rent praktiskt kan det vara lättast om företaget ansvarar för att samla in även de som täcker din bildhantering.
– Samtyckena ska vara frivilliga. Sen är förstås frågan hur den anställde upplever situationen när en arbetsgivare säger: ”nu ska du fotograferas, vill du vara vänlig och samtycka till att vi fotograferar dig och lägger upp bilden på hemsidan”. Men om det finns ett reellt alternativ, att man verkligen får välja bort, då är det frivilligt.
Det är inte ovanligt att ett företag och en fotograf har en överenskommelse via ett avtal, som beställare och leverantör. Men även om det finns ett sådant avtal måste du ändå som fotograf få samtycken från företagets personal när de ska fotograferas. För det är respektive anställd som äger rätten till sina personuppgifter, inte företaget.
Bör det i ett avtal även framgå hur länge fotografen får spara bilderna?
– Ja, det är bra om det framgår av avtalet. Vi rekommenderar våra medlemmar (inom Svenska Fotografers Förbund) att de sparar bilderna i fem år, som ett erbjudande för sina uppdragsgivare. Det skulle förstås kunna vara en ännu längre lagringstid, egentligen för hela upphovsrättens längd – det vill säga 70 år efter upphovsmannens död.
Har man enligt GDPR rätt att ha kvar bilderna efter det att avtalet löpt ut?
– Nej, i princip inte.
Personuppgiftsbiträde – inte ansvarig
Vad som ytterligare framgår av förordningen är att GDPR skiljer på personuppgiftsansvarig och personuppgiftsbiträde, vilket innebär att den sistnämnde agerar på uppdrag av den ansvarige. Det betyder att biträdet inte har något eget ansvar utanför själva uppdraget.
En sådan situation kan vara när en privatperson tar bilder under ett evenemang, på uppdrag av till exempel ett företag eller förening. Så länge fotografen (biträdet) inte tar några egna initiativ till att använda bilderna, utan bara levererar dem till uppdragsgivaren, behöver inte biträdet ansvara för den fortsatta hanteringen av bilderna – och få samtycken för publiceringar. Den biten får den personuppgiftsansvarige sköta, och måste även tänka på vad som gäller i sammanhang där minderåriga syns på bilderna. Då måste den ansvarige se till att barnets vårdnadshavare har gett sitt samtycke, om barnet inte själv förstår innebörden av samtycket. Tumregeln är barn under 15 år.
”Missbruksregeln” försvinner
En förändring med GDPR är att den så kallade ”missbruksregeln” försvinner, som numera finns i personuppgiftslagen. Den regeln innebär att ”ostrukturerat” material, det vill säga text och bild i en löpande text, får användas utan samtycke från de som förekommer i texten och på bilderna – under förutsättning att materialet inte kränker personernas integritet. I och med GDPR ska den här typen av text- och bildmaterial behandlas på samma sätt som till exempel strukturerade bilddatabaser, och måste därmed ha en rättslig grund för hanteringen – såsom avtal eller samtycke.
Enligt GDPR har vi rätt att få ut information som finns samlad om en själv. Vad innebär det?
– Det innebär att den information du har som fotograf, om den inte finns inom den privata sfären, måste kunna lämnas ut på begäran inom rimlig tid.
Måste även en privatperson kunna lämna ut information?
– Under förutsättning att det inte är bilder som finns inom den privata sfären eller att du inte kan använda dig av undantagen konstnärligt eller journalistiskt skapande. Då kan du bli tvungen att lämna ut.
Anledningen till att den här möjligheten finns, är kopplad till det som kallas för ”rätten att bli glömd”. Vi har rätt att få ut information som berör våra personuppgifter, och kan även i vissa fall kräva att de tas bort. Det gäller bland annat i de fall då uppgifterna inte längre behövs för de ändamål som de samlades in för, eller om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket.
Om man bryter mot GDPR, vad händer då?
– Man kan få böta upp till 20 miljoner euro, eller fyra procent av den globala omsättningen. Så det kan bli kännbart.
Men Thomas menar samtidigt att GDPR inte i första hand tar sikte på fotografer och småföretagare. Utan lagen har kommit till mycket på grund av stora aktörer som Facebook och Google – de som behandlar en stor mängd data och personuppgifter.
– Facebook samlar in både namn, bild och GPS-positionering samt vilka annonser du klickar på, vilka filmer du tittar på och hur länge du ser dem. Det här bidrar till att profilera mediekonsumenter, uppgifter som de delar eller säljer till sina samarbetspartners. Och det är det, det handlar om.
Det ska bli svårare för dem att göra så?
– Om inte annat kommer GDPR förändra deras sätt att samla in information alternativt hur de delar den. Eller så gör de bara en ändring i användarvillkoren. Det återstår att se. Vi har gett dem väldigt mycket information över åren och det är priset för att vi får använda deras tjänster, det ska man vara på det klara med.
KÄLLA: https://www.kamerabild.se/nyheter/lag-upphovsr-tt/gdpr-s-p-verkas-fotografer-av-den-nya-lagen