Banner HMS9 MAN.jpg

Det er mange hensyn rundt GDPR som egentlig ikke skiller seg så mye fra forgjengeren åndsverkloven og personopplysningsloven. GDPR har forsøkt å tydeliggjøre loven mer, noe som på en måte gjør det mer komplisert. Det er mange hvis og men og måter å "omgå" loven på. Hovedformålet med GDPR er å kontrollere at store selskaper som Facebook, google og lignende ikke bruker våre personopplysninger.

 

Når er DU på bildet? Så du har vanligvis signert en kontrakt med meg eller i en muntlig avtale valgt å stå foran kameraet mitt. Muntlige avtaler gjelder også (selv om de er vanskeligere å bevise) og det at du selv opptrer og poserer på bildene er et slags samtykke. Må-foto eier retten til bildene på samme måte som en kunstner eier sitt verk i form av et maleri, statue, design, varemerke eller hva de måtte være. Hovedformålet er selvfølgelig må-fotos

å dele og distribuere sine fotografiske verk i ulike medier og aldri fornærme eller såre noen.

 

Når det gjelder salg av bilder (hvor du kan identifiseres), kreves det en skriftlig tillatelse hvor du bekrefter at det er OK.

Alle mine nye kontrakter (2018-06) inneholder nå den klausulen.

Loven regulerer behandlingen av bildene

 

GDPR minner i store trekk om gjeldende personopplysningslov. Ifølge Thomas er det mye til felles. Det dreier seg fortsatt om opplysninger som kan knyttes til en nålevende person, som navn, adresse, personnummer og IP-nummer, men også klær, hårfarge og tatoveringer. 

– Alt som kan knyttes til noen, som er med på å identifisere en person – det er en personlig oppgave, sier Thomas.

Bilder er også personopplysninger, dersom det er personer på bildene som kan identifiseres. 

Loven styrer da selve behandlingen av dataene, som omfatter alle tiltak som er tatt med personopplysningene, fra registrering – i fotografens tilfelle når du trykker på knappen – til dataene slettes, som når bilder slettes fra et minnekort eller harddisk. All denne håndteringen krever tillatelse, det er utgangspunktet i GDPR. 

For deg som fotograf er det i hovedsak tre rettslige grunnlag for dette: samtykke, avtale eller interesseavveining.  

 

Samtykke, avtale eller interesseavveining

 

Samtykke betyr at du ber den du fotograferer om tillatelse. I følge GDPR skal samtykket da gis «ved et entydig bekreftende dokument som innebærer et frivillig, spesifikt, informert og entydig samtykke fra den registrerte om at han eller hun samtykker til behandling av personopplysninger om vedkommende. ". 

Loven stiller ingen krav til i hvilken form du gjør det, det vil si: du trenger ikke å gjøre det skriftlig, men det er selvsagt vanskelig å bevise en muntlig avtale. 

– Folk har en tendens til å glemme, og muligens gjøre om ting. Og av den grunn er skriving best. Men det fungerer også bra hvis man kan avklare med et opptak, forklarer Thomas.

En avtale opprettes for eksempel når en privatperson bestiller et bilde av deg, fordi han eller hun ønsker å bli portrettert. Det vil si når noen kjøper en tjeneste av deg, og hvor du så avtaler hvordan bildene da kan brukes. 

Det tredje rettsgrunnlaget, interesseavveining, kan være aktuelt når det verken foreligger samtykke eller avtale. 

– Da veier du din egen interesse av å gjøre denne behandlingen opp mot den personen det gjelder personopplysninger. Det vil si om det av en eller annen grunn kan være viktigere at du får behandle disse bildene enn at den personlige integriteten til de som sees på bildene bevares.

 

Må alle fotografer overholde loven og få tillatelse? 

– GDPR gjelder ikke for privatpersoner, i det de driver med i sin private virksomhet. Det er den klare skillelinjen. Da kan det fortsatt være slik at enkelte ting havner utenfor privat sektor. 

Sosiale medier er et tydelig eksempel på det, sier Thomas.

– Hvis du tenker på Facebook, hvor du kanskje har en lukket gruppe bestående av deg og dine tre søsken, samt mamma og pappa. Da kan man vel si at bilder som havner der er i privatsfæren. Men si at du har 200-300 venner og publiserer bilder for dem, eller hvis du gjør det offentlig: da havner du sannsynligvis utenfor den private sfæren. 

Med andre ord: I de tilfellene må en privatperson også ta hensyn til GDPR. 

Men vent, betyr dette at alle fotoentusiaster må løpe rundt i byen og innhente samtykke fra alle de fotograferer? Nei, vær rolig. Det er flere unntak i loven, og også en enkel måte å komme seg rundt alt på.  

 

Unntak: Kunstnerisk eller journalistisk

 

Selv om GDPR er en EU-lov som gjelder for alle medlemsland, er det mulig på nasjonalt nivå å gjøre begrensninger i loven. Blant annet er lover om ytrings- og informasjonsfrihet unntatt. I Sverige betyr dette at all behandling som omfattes av trykkfrihetsförordningen (TL) og ytringsfrihetsloven (YGL) faller utenfor GDPR. Behandling av personopplysninger som skjer uten tilknytning til TF og YGL er imidlertid også utelukket dersom formålet ditt er journalistisk, kunstnerisk, litterær eller akademisk skapelse.

 

Journalistisk betyr dette at du gir ut en avis eller driver en annen form for medievirksomhet?

– Det trenger ikke være profesjonelt. Det kan også være en eller annen form for meningsdannelse, at man ønsker å vise en misforståelse og gjøre det på en slik måte at det kommer til offentlighetens kjennskap, på en journalistisk måte.  

 

Kan en blogg tolkes som et journalistisk produkt?

– Det kunne den gjort, hvis den har et journalistisk innhold og et journalistisk formål. Da må man se på den enkelte sak. Hvis det er noen som skriver «naboen min er ikke klok i hodet, han spiller musikk hele dagen lang», så er det kanskje ikke journalistisk men stoffet må ha et bredere spenn.

 

Er virksomheten pålagt å ha publiseringslisens, for å bli kalt journalist?

- Nei.

 

Men det er mye snakk om å publisere sertifikater, knyttet til GDPR. Hvorfor?

– Ja, det er en måte å omgå GDPR på en enkel måte. Altså for å unngå diskusjonen med Datatilsynet, som er revisjonsmyndighet for GDPR. Du får et publiseringsbevis fra «Byrået for presse, radio og fjernsyn», koster et par tusen kroner og er ganske enkelt å få tak i.  

 

Kan en privatperson også få utgivelsesbevis?

– Ja, hvis du har en slags nettside eller database. 

Er du med meg? Vi tar det igjen i et nøtteskall: Hvis fotografiet ditt kan betraktes som journalistisk eller kunstnerisk, trenger du ikke støtte virksomheten din på noen av de juridiske grunnlagene: samtykke, avtale eller interesseavveining. Dette gjelder enten du er profesjonell eller amatør. Og dersom bildene dine ikke kan regnes som en del av noen av unntakene, som det kunstneriske, kan du likevel føle deg trygg ved hjelp av et publiseringsbevis – for da går du under «GDPR-radaren». Men da kreves det at du har en nettside eller database, for å få publiseringsbevis.

 

Mange hobbyfotografer tar gjerne bilder i byen, såkalt gatefotografering. Kan det anses å falle inn i kategorien kunstnerisk eller journalistisk?

– Det vil jeg nok si. For jeg vet ikke hvor jeg skal plassere den ellers.

Dermed kan en gatefotograf fortsette å fotografere på et offentlig sted, og så lenge de bildene i ettertid behandles etter kunstneriske formål eller dekkes av TF eller YGL, kan de formidles i for eksempel sosiale medier.  

 

Eldre bilder omfattes også av den nye loven  

 

For den profesjonelle fotografen vil GDPR bety mye mer å tenke på, som hvordan man håndterer personopplysninger i kunderegistre og arkiver. 

Den nye loven gjelder ikke bare bildene du fotograferer fra 25. mai 2018, men også alle tidligere bilder du har i arkivet ditt – dersom bildene nå representerer levende og identifiserbare personer. 

Men igjen, hvis bildene er et resultat av en kunstnerisk skapelse eller har et journalistisk formål, gjelder ikke GDPR for arkivbildene dine. Men dersom de samme bildene skulle begynne å bli brukt i for eksempel kommersielle sammenhenger, så kan GDPR gjelde og du må signere en avtale eller innhente samtykke.

 

Det kreves samtykke for personalbilder  

 

En vanlig situasjon for mange profesjonelle fotografer kan være at et firma ansetter deg til å ta bilder av personalet. I de tilfellene trenger både bedriften og du som fotograf samtykke fra hver enkelt ansatt, for at bildene skal kunne håndteres. Det kreves med andre ord to ulike samtykker, men rent praktisk kan det være lettest om bedriften har ansvar for å samle inn også de som dekker bildebehandlingen din. 

– Samtykke skal være frivillig. Så er selvfølgelig spørsmålet hvordan arbeidstakeren opplever situasjonen når en arbeidsgiver sier: «nå skal du fotograferes, vil du være snill og godta at vi fotograferer deg og legger bildet ut på nettsiden». Men er det et reelt alternativ, at man virkelig må melde seg ut, så er det frivillig.

Det er ikke uvanlig at en bedrift og en fotograf har en avtale via avtale, som oppdragsgiver og leverandør. Men selv om det foreligger en slik avtale, må du som fotograf likevel få samtykke fra selskapets ansatte når de skal fotograferes. Fordi det er hver enkelt ansatt som eier retten til sine personopplysninger, ikke selskapet.  

 

Skal det også stå i en avtale hvor lenge fotografen kan lagre bildene?

– Ja, det er bra om det står i avtalen. Vi anbefaler våre medlemmer (innenfor Svenska Fotografernas Riksförbund) at de lagrer bildene i fem år, som et tilbud til sine kunder. Det kan selvsagt være en enda lengre lagringstid, faktisk for hele opphavsrettens lengde – altså 70 år etter forfatterens død.  

 

Har du i følge GDPR rett til å beholde bildene etter at avtalen er utløpt?

– Nei, i grunnen ikke.

 

Personopplysningsassistent - ikke ansvarlig

 

Det som videre fremgår av forordningen er at GDPR skiller mellom den personopplysningsansvarlige og personopplysningsassistenten, noe som betyr at sistnevnte opptrer på vegne av den ansvarlige. Det betyr at assistenten ikke har noe personlig ansvar utenfor selve oppdraget. 

En slik situasjon kan være når en privatperson tar bilder under et arrangement, på vegne av for eksempel en bedrift eller forening. Så lenge fotografen (assistenten) ikke tar noe eget initiativ til å bruke bildene, men kun leverer dem til oppdragsgiver, trenger ikke assistenten stå for den videre håndteringen av bildene – og innhente samtykke til publiseringer . Den delen skal håndteres av personopplysningsansvarlig, og må også tenke gjennom hva som gjelder i sammenhenger hvor mindreårige sees på bildene. Den ansvarlige må i så fall sørge for at barnets foresatte har gitt sitt samtykke, dersom barnet ikke selv forstår meningen med samtykket. Tommelfingerregelen er barn under 15 år.

 

«Misbruksregelen» forsvinner

 

En endring med GDPR er at den såkalte «misbruksregelen» forsvinner, som nå finnes i personopplysningsloven. Denne regelen innebærer at «ustrukturert» materiale, det vil si tekst og bilde i en løpende tekst, kan brukes uten samtykke fra de som fremkommer i teksten og i bildene – forutsatt at materialet ikke krenker personvernet til personene. Med GDPR skal denne typen tekst- og bildemateriale behandles på samme måte som for eksempel strukturerte bildedatabaser, og må derfor ha et rettslig grunnlag for håndteringen – som avtale eller samtykke.

 

I følge GDPR har vi rett til å få opplysninger som samles inn om en selv. Hva betyr det?

Det betyr at informasjonen du har som fotograf, dersom den ikke er tilgjengelig i privatsfæren, skal være tilgjengelig på forespørsel innen rimelig tid.  

 

Må en enkeltperson også kunne utlevere informasjon?

- Forutsatt at det ikke finnes bilder som eksisterer i den private sfære eller at man ikke kan bruke unntakene kunstnerisk eller journalistisk skapelse. Da må du kanskje levere den.

Grunnen til at denne muligheten eksisterer er knyttet til det som kalles «retten til å bli glemt». Vi har rett til å få informasjon om våre personopplysninger, og kan til og med i noen tilfeller kreve at de slettes. Dette gjelder for eksempel i tilfeller hvor opplysningene ikke lenger er nødvendige for formålene de ble samlet inn for, eller dersom behandlingen er basert på den enkeltes samtykke og den enkelte trekker tilbake samtykket.

 

Hvis du bryter GDPR, hva skjer da? 

– Du kan få en bot på opptil 20 millioner euro, eller fire prosent av det globale salget. Så det kan merkes.

Men samtidig mener Thomas at GDPR ikke først og fremst er rettet mot fotografer og småbedriftseiere. Uten loven har mye kommet til på grunn av store aktører som Facebook og Google – de som behandler store mengder data og persondata.

– Facebook samler inn både navn, bilde og GPS-posisjonering samt hvilke annonser du klikker på, hvilke filmer du ser og hvor lenge du ser dem. Dette bidrar til å profilere medieforbrukere, informasjon som de deler eller selger til sine partnere. Og det er det det handler om.

 

Vil det være vanskeligere for dem å gjøre det?

– Om ikke annet vil GDPR endre måten de samler inn informasjon på eller hvordan de deler den. Eller de gjør bare en endring i bruksvilkårene. Det gjenstår å se. Vi har gitt dem mye informasjon gjennom årene og det er prisen for oss for å bruke deres tjenester, det må du være tydelig på.

KILDE:  https://www.kamerabild.se/nyheter/lag-upphovsr-tt/gdpr-sp-verkas-fotografer-av-den-nya-lagen

          https://www.datainspektionen.se