Många undrar vad som gäller kring bild och film i GDPR. Kan vi ens ha bilder på webben efter att GDPR har trätt i kraft? Här svarar vi på de vanligaste frågorna.

Bilder där du kan identifiera personen ses inom GDPR som personuppgifter och måste därför följa samma rutiner som andra personuppgifter. Du behöver ha en rättslig grund för att kunna publicera bilden, och du måste ha register och rutiner för samtycke och gallring.

Det innebär att det kommer att bli mycket svårare att publicera foton och filmklipp som innehåller någon form av identifierbara personer. Men det kommer inte vara omöjligt att använda bilder framöver. Tvärtom kan GDPR hos många bli det som äntligen får de att ta fram en genomtänkt bildstrategi och börja arbeta med högkvalitativa bilder.

Bild och film kräver rättslig grund

Bilder och filmer kräver att du har stöd i GDPR för att få publicera dem. GDPR anger sex skäl, så kallade rättsliga grunder. De skäl som vi oftast kan använda oss av är allmänt intresse (för offentlig verksamhet) och intresseavvägning (för privata företag). Ibland kommer vi kunna använda oss av samtycke.

Oavsett vilken grund du använder dig utav ska du, om det är möjligt, informera de som finns med på bilden om att de blir fotade och att de kommer figurera på er webbplats eller i era sociala mediekanaler. Du ska också informera om vem de ska vända sig till ifall de framöver inte skulle vilja finnas med på er bild.

När bilden används ska du skriva upp att du använder den i er registerförteckning samt ange vilken rättslig grund ni stödjer er på, samt hur ni motiverar det. Om någon hör av sig och inte vill figurera på er webbplats eller i annan digital kanal ska ni ta bort bilden, alternativt göra om bilden så att personen inte syns.

Allmänt intresse

Myndigheter, kommuner och journalister kan stödja sig på allmänt intresse för att till exempel visa upp sin verksamhet eller andra publika sammanhang. Om du vill använda bilder från en invigning, när en politiker höll tal eller från bibliotekets kulturkväll kan ni hävda att det finns ett intresse från allmänheten att kunna se vilken sorts verksamhet ni bedriver och hur den ser ut.

Intresseavvägning

Privata företag kan hävda att deras intresse av att visa upp sin verksamhet är större än personernas rätt till sina personuppgifter. Om ni till exempel har hat en kurs eller en mingelkväll och vill visa hur det var kan ni stödja er på intresseavvägning.

Samtycke

Ibland vill man ha en bild utan att det speglar en verklighet, till exempel en bild som ska skapa ens stämning eller vara rent dekorativ. Då är det svårt att hävda allmänt intresse eller intresseavvägning. Man kan använda samtycke istället. Ni behöver då registrera samtycke från samtliga personer på bilden, till exempel i form av ett skriftligt samtycke. Om någon sedan ändrar sig ska ni ta bort personen från bilden, eller ta bort hela bilden.

Samtycke kommer vara omständligt att hantera, så ett mer hanterbart sätt att arbeta med bilder med personer på är att skriva avtal. Avtal kan inte återkallas på samma sätt som samtycke. Ett modellavtal kan innehålla hur lång tid man får lov att använda bilden, var den får publiceras och vem som får använda den.

Bilder från bildbyråer

Ett annat alternativ är att köpa bilder från en bildbyrå som följer GDPR. Bildbyrån har då avtal i enlighet med GDPR för de modeller de anlitar. Undvik personbilder från gratisbyråer, då du inte kan vara säker på vad som gäller för de som är på bilden. Många gratisbyråer bygger på att vem som helst kan lägga upp bilder, och det är svårt att veta om de har avtal med de personer som finns på bilden eller ej.

Se över riktlinjerna för hur ni använder bilder

Kanske är det så att GDPR egentligen är något positivt för er organisation? GDPR kanske är det ni behöver för att se över vilken typ av bilden ni använder på webben. Färre bilder kan vara av godo sett ur vissa perspektiv. Att ta fram passande bilder tar ofta otroligt mycket tid för webbredaktören, bilder tar plats på sidan och det ger lång laddningstid. Man kan åstadkomma snygga sidor genom att arbeta med andra grafiska element istället för bilder.

Se över organisationen

För att bildriktlinjerna ska följas på webben och i sociala medier kan det vara bra att se över hur er webborganisation ser ut. Det är större sannolikhet att redaktörerna kommer ihåg dem om ni har en liten webbredaktion som lägger en stor del av sin tid på webbfrågor, än om ni har 340 redaktörer som publicerar en gång i månaden. Då är det så många andra saker de ska komma ihåg, som hur man loggar in och navigerar, så GDPR kanske inte prioriteras.

Än en gång kan GDPR alltså bli en chans till förbättring. Alla webbprojekt vi har arbetat i har visat att en mindre redaktion som jobbar ofta med webben ger en högre kvalitet än en stor redaktion med sällanpublicerare.

GDPR​ för sociala medier

Sociala kanaler omfattas av samma regler som webben när det gäller bild och film. Det innebär att du ska använda samma riktlinjer för bild och film på Facebook, Instagram och Twitter (och alla andra kanaler du använder) som du använder på webben.

Dessutom ska du använda samma tänk när du delar inlägg. Lagen är inte solklar där idag, men det kan vara så att dela räknas som att publicera. Tills motsatsen är bevisad kan det vara värt att tänka till innan du delar och använda dig av försiktighetsprincipen.

Om du delar något från en officiell person alternativt citerar (retweetar t ex) kan du ibland använda dig av allmänt intresse som rättslig grund. ​

Glöm inte registren

Din organisation behöver ett register för alla personuppgifter ni samlar in. Där ska ni ange bland annat var ni registrerar, varför, vilken rättslig grund ni stödjer er på, hur länge ni sparar uppgifterna och hur ni rensar bland uppgifterna. Innan du publicerar bilden ska du ha fyllt i det här registret.

Du behöver också uppdatera rutinerna för gallring med de bilder du publicerar. Rutinerna för gallring ska finnas dokumenterade för en eventuell kontroll, men så klart också för er egen skull. Där ska det stå vilka system ni rensar i, hur ofta, och hur ni går tillväga när ni rensar.

Om du har ansvar för en webbavdelning innebär det här att du bör informera alla dina webbredaktörer om de nya rutinerna.

Sammanfattning

Eftersom bild och film räknas som personuppgift ska du behandla bild och film precis som alla andra personuppgifter. Du behöver tänka igenom och hitta en laglig grund för publiceringen, uppdatera den centrala registerförteckningen och uppdatera rutiner för lagringstid och gallring.

Därför kan du förmodligen inte längre välja bilder och publicera dem helt på egen hand. Om det finns någon i verksamheten som är ansvarig för personuppgifter, till exempel ett dataskyddsombud, behöver du stämma av med den vad ni ska göra för att följa GDPR.

Sammanfattningsvis kan man säga att det inte kommer vara lika lätt att publicera bilder och filmer som innan, men att det på intet sätt är en hopplös situation. Tvärtom kan GDPR vara startskottet för att få ett genomtänkt bildarbete på er webb och en webbredaktion med högre kvalitet.

Lär dig hur GDPR påverkar webbarbetet

Med vår kurs GDPR för webbansvariga lär du dig de viktigaste delarna om hur GDPR påverkar ditt arbete med webben och vad du behöver göra. Du får konkreta tips och verktyg och kommer igång med ditt arbete redan under kursen.

Få stöd i arbetet med GDPR inom organisationen

Att anpassa organisationen efter GDPR kan vara omfattande och förvirrande. Vi hjälper er på vägen genom till exempel inventera vilka av era system som berörs av GDPR. Du kan också få hjälp med att ta fram åtgärdsplaner och att sätta upp register och rutiner.

Denna text har ingen ambition att täcka alla delar eller aspekter av GDPR. Vår ambition är att lyfta ut delar som känns relevanta för just bild och film.

De praktiska råden och tipsen har vi stämt av med jurister som är specialister på GDPR. Det saknas just nu detaljerad vägledning och praxis om hur man praktiskt ska tillämpa GDPR inom många områden. Vissa råd i denna text kommer därför med tiden att kunna förändras. Vi förbehåller oss rätten att när som helst ändra texten och frånsäger oss allt ansvar för hur dessa råd används i praktiken. Det är alltid upp till varje organisation att själv besluta om att tillämpa någon av råden. Vi rekommenderar att ni även stämmer av tillämpningen av dessa råd med den som är ansvarig för personuppgifter i er organisation eller med egen jurist.

Mer information om GDPR hittar du på Datainspektionens webbplats

Samtycke enligt GDPR – när, var och hur?

Så hanterar du webbformulär enligt GDPR – dataskyddsförordningen