Många undrar vad som gäller kring bild och film i GDPR. Kan vi ens ha bilder på webben efter att GDPR har trätt i kraft? Här svarar vi på de vanligaste frågorna.
Bilder där du kan identifiera personen ses inom GDPR som personuppgifter och måste därför följa samma rutiner som andra personuppgifter. Du behöver ha en rättslig grund för att kunna publicera bilden, och du måste ha register och rutiner för samtycke och gallring.
Det innebär att det kommer att bli mycket svårare att publicera foton och filmklipp som innehåller någon form av identifierbara personer. Men det kommer inte vara omöjligt att använda bilder framöver. Tvärtom kan GDPR hos många bli det som äntligen får de att ta fram en genomtänkt bildstrategi och börja arbeta med högkvalitativa bilder.
Bild och film kräver rättslig grund
Bilder och filmer kräver att du har stöd i GDPR för att få publicera dem. GDPR anger sex skäl, så kallade rättsliga grunder. De skäl som vi oftast kan använda oss av är allmänt intresse (för offentlig verksamhet) och intresseavvägning (för privata företag). Ibland kommer vi kunna använda oss av samtycke.
Oavsett vilken grund du använder dig utav ska du, om det är möjligt, informera de som finns med på bilden om att de blir fotade och att de kommer figurera på er webbplats eller i era sociala mediekanaler. Du ska också informera om vem de ska vända sig till ifall de framöver inte skulle vilja finnas med på er bild.
När bilden används ska du skriva upp att du använder den i er registerförteckning samt ange vilken rättslig grund ni stödjer er på, samt hur ni motiverar det. Om någon hör av sig och inte vill figurera på er webbplats eller i annan digital kanal ska ni ta bort bilden, alternativt göra om bilden så att personen inte syns.
Allmänt intresse
Myndigheter, kommuner och journalister kan stödja sig på allmänt intresse för att till exempel visa upp sin verksamhet eller andra publika sammanhang. Om du vill använda bilder från en invigning, när en politiker höll tal eller från bibliotekets kulturkväll kan ni hävda att det finns ett intresse från allmänheten att kunna se vilken sorts verksamhet ni bedriver och hur den ser ut.
Intresseavvägning
Privata företag kan hävda att deras intresse av att visa upp sin verksamhet är större än personernas rätt till sina personuppgifter. Om ni till exempel har hat en kurs eller en mingelkväll och vill visa hur det var kan ni stödja er på intresseavvägning.
Samtycke
Ibland vill man ha en bild utan att det speglar en verklighet, till exempel en bild som ska skapa ens stämning eller vara rent dekorativ. Då är det svårt att hävda allmänt intresse eller intresseavvägning. Man kan använda samtycke istället. Ni behöver då registrera samtycke från samtliga personer på bilden, till exempel i form av ett skriftligt samtycke. Om någon sedan ändrar sig ska ni ta bort personen från bilden, eller ta bort hela bilden.
Samtycke kommer vara omständligt att hantera, så ett mer hanterbart sätt att arbeta med bilder med personer på är att skriva avtal. Avtal kan inte återkallas på samma sätt som samtycke. Ett modellavtal kan innehålla hur lång tid man får lov att använda bilden, var den får publiceras och vem som får använda den.
Bilder från bildbyråer
Ett annat alternativ är att köpa bilder från en bildbyrå som följer GDPR. Bildbyrån har då avtal i enlighet med GDPR för de modeller de anlitar. Undvik personbilder från gratisbyråer, då du inte kan vara säker på vad som gäller för de som är på bilden. Många gratisbyråer bygger på att vem som helst kan lägga upp bilder, och det är svårt att veta om de har avtal med de personer som finns på bilden eller ej.
Se över riktlinjerna för hur ni använder bilder
Kanske är det så att GDPR egentligen är något positivt för er organisation? GDPR kanske är det ni behöver för att se över vilken typ av bilden ni använder på webben. Färre bilder kan vara av godo sett ur vissa perspektiv. Att ta fram passande bilder tar ofta otroligt mycket tid för webbredaktören, bilder tar plats på sidan och det ger lång laddningstid. Man kan åstadkomma snygga sidor genom att arbeta med andra grafiska element istället för bilder.
Se över organisationen
För att bildriktlinjerna ska följas på webben och i sociala medier kan det vara bra att se över hur er webborganisation ser ut. Det är större sannolikhet att redaktörerna kommer ihåg dem om ni har en liten webbredaktion som lägger en stor del av sin tid på webbfrågor, än om ni har 340 redaktörer som publicerar en gång i månaden. Då är det så många andra saker de ska komma ihåg, som hur man loggar in och navigerar, så GDPR kanske inte prioriteras.
Än en gång kan GDPR alltså bli en chans till förbättring. Alla webbprojekt vi har arbetat i har visat att en mindre redaktion som jobbar ofta med webben ger en högre kvalitet än en stor redaktion med sällanpublicerare.
GDPR för sociala medier
Sociala kanaler omfattas av samma regler som webben när det gäller bild och film. Det innebär att du ska använda samma riktlinjer för bild och film på Facebook, Instagram och Twitter (och alla andra kanaler du använder) som du använder på webben.
Dessutom ska du använda samma tänk när du delar inlägg. Lagen är inte solklar där idag, men det kan vara så att dela räknas som att publicera. Tills motsatsen är bevisad kan det vara värt att tänka till innan du delar och använda dig av försiktighetsprincipen.
Om du delar något från en officiell person alternativt citerar (retweetar t ex) kan du ibland använda dig av allmänt intresse som rättslig grund.
Glöm inte registren
Din organisation behöver ett register för alla personuppgifter ni samlar in. Där ska ni ange bland annat var ni registrerar, varför, vilken rättslig grund ni stödjer er på, hur länge ni sparar uppgifterna och hur ni rensar bland uppgifterna. Innan du publicerar bilden ska du ha fyllt i det här registret.
Du behöver också uppdatera rutinerna för gallring med de bilder du publicerar. Rutinerna för gallring ska finnas dokumenterade för en eventuell kontroll, men så klart också för er egen skull. Där ska det stå vilka system ni rensar i, hur ofta, och hur ni går tillväga när ni rensar.
Om du har ansvar för en webbavdelning innebär det här att du bör informera alla dina webbredaktörer om de nya rutinerna.
Sammanfattning
Eftersom bild och film räknas som personuppgift ska du behandla bild och film precis som alla andra personuppgifter. Du behöver tänka igenom och hitta en laglig grund för publiceringen, uppdatera den centrala registerförteckningen och uppdatera rutiner för lagringstid och gallring.
Därför kan du förmodligen inte längre välja bilder och publicera dem helt på egen hand. Om det finns någon i verksamheten som är ansvarig för personuppgifter, till exempel ett dataskyddsombud, behöver du stämma av med den vad ni ska göra för att följa GDPR.
Sammanfattningsvis kan man säga att det inte kommer vara lika lätt att publicera bilder och filmer som innan, men att det på intet sätt är en hopplös situation. Tvärtom kan GDPR vara startskottet för att få ett genomtänkt bildarbete på er webb och en webbredaktion med högre kvalitet.
Vi rekommenderar att stämma av råden med er egen jurist innan ni börjar. Mer information om GDPR hittar du på IMY, Integritetsskyddsmyndighetens webbplats.