Der er mange overvejelser omkring GDPR, som egentlig ikke adskiller sig så meget fra forgængeren ophavsretsloven og persondataloven. GDPR har forsøgt at præcisere loven mere, hvilket på en måde gør det mere kompliceret. Der er mange hvis og men og måder at "omgå" loven på. Hovedformålet med GDPR er at kontrollere, at store virksomheder som Facebook, google og lignende ikke bruger vores personlige data.
Hvornår er DU på billedet? Så du har normalt underskrevet en kontrakt med mig eller i en mundtlig aftale valgt at stå foran mit kamera. Mundtlige aftaler gælder også (selvom de er sværere at bevise) og det at man selv agerer og poserer på billederne er en slags samtykke. Må-foto ejer retten til billederne ligesom en kunstner ejer sit værk i form af et maleri, statue, design, varemærke eller hvad de nu måtte være. Hovedformålet er selvfølgelig må-fotos
at dele og distribuere deres fotografiske værker i forskellige medier og aldrig fornærme eller såre nogen.
Med hensyn til salg af billeder (hvor du kan identificeres), kræves der en skriftlig tilladelse, hvor du attesterer, at det er i orden.
Alle mine nye kontrakter (2018-06) indeholder nu den klausul.
Loven regulerer behandlingen af billederne
GDPR minder i store træk om den nuværende persondatalov. Ifølge Thomas er der meget til fælles. Det handler stadig om oplysninger, der kan knyttes til en nulevende person, såsom navn, adresse, cpr-nummer og IP-nummer, men også tøj, hårfarve og tatoveringer.
- Alt det, der kan forbindes med nogen, som er med til at identificere en person - det er en personlig opgave, siger Thomas.
Billeder er også persondata, hvis der er personer på billederne, som kan identificeres.
Loven regulerer herefter selve behandlingen af dataene, som omfatter alle forholdsregler, der er truffet med persondataene, fra registrering - i fotografens tilfælde, når du trykker på knappen - til data slettes, såsom når billeder slettes fra et hukommelseskort eller harddisk. Al denne håndtering kræver en tilladelse, det er udgangspunktet i GDPR.
For dig som fotograf er der hovedsageligt tre retsgrundlag herfor: samtykke, aftale eller interesseafvejning.
Samtykke, aftale eller interesseafvejning
Samtykke betyder, at du beder den, du fotograferer, om en tilladelse. Ifølge GDPR skal samtykket herefter gives "ved et utvetydigt bekræftende dokument, som indebærer et frivilligt, specifikt, informeret og utvetydigt samtykke fra den registreredes side om, at han eller hun er indforstået med behandlingen af personoplysninger vedrørende ham eller hende. ".
Loven stiller ingen krav til, i hvilken form man gør det, altså: man skal ikke gøre det skriftligt, men det er selvfølgelig svært at bevise en mundtlig aftale.
- Folk har en tendens til at glemme, og muligvis lave ting om. Og af den grund er det bedst at skrive. Men det fungerer også godt, hvis man kan afklare med en optagelse, forklarer Thomas.
En aftale indgås for eksempel, når en privatperson bestiller et fotografi af dig, fordi han eller hun ønsker at blive portrætteret. Altså når nogen køber en service hos dig, og hvor du så aftaler hvordan billederne så må bruges.
Det tredje retsgrundlag, interesseafvejning, kan være relevant, når der hverken er samtykke eller aftale.
- Så afvejer man sin egen interesse i at foretage denne behandling op imod den person, hvis persondata det drejer sig om. Altså hvis det af en eller anden grund kan være vigtigere, at du får lov til at behandle disse billeder, end at den personlige integritet for dem, der ses på billederne, bevares.
Skal alle fotografer overholde loven og få en tilladelse?
- GDPR gælder ikke for private, i det de laver i deres private forretning. Det er den klare skillelinje. Så kan det stadig være sådan, at nogle ting ender uden for den private sektor.
Det er de sociale medier et tydeligt eksempel på, siger Thomas.
- Hvis du tænker på Facebook, hvor du måske har en lukket gruppe bestående af dig og dine tre søskende samt mor og far. Så kan man vel sige, at billeder, der ender der, er i privatsfæren. Men sig du har 200-300 venner og udgiver billeder til dem, eller hvis du gør det offentligt: så ender du sikkert uden for den private sfære.
Med andre ord: I de tilfælde skal en privatperson også tage hensyn til GDPR.
Men vent, betyder det, at alle fotoentusiaster skal løbe rundt i byen og indhente samtykke fra alle, de fotograferer? Nej, vær rolig. Der er flere undtagelser i loven, og også en nem måde at komme uden om alt.
Undtagelser: Kunstnerisk eller journalistisk
Selvom GDPR er en EU-lov, der gælder for alle medlemslande, er det muligt på nationalt plan at lave begrænsninger i loven. Blandt andet er love om ytrings- og informationsfrihed undtaget. I Sverige betyder det, at al behandling omfattet af Trykkefrihedsforordningen (TL) og Ytringsfrihedsloven (YGL) falder uden for GDPR. Behandling af personoplysninger, der foregår uden tilknytning til TF og YGL, er dog også udelukket, hvis dit formål er journalistisk, kunstnerisk, litterær eller akademisk frembringelse.
Betyder det journalistisk, at du udgiver en avis eller driver en anden form for medieaktivitet?
- Det behøver ikke være professionelt. Det kan også være en form for meningsdannelse, at man vil vise en misforståelse og gøre det på en sådan måde, at det kommer til offentlighedens kendskab, på en journalistisk måde.
Kan en blog tolkes som et journalistisk produkt?
- Det kunne den gøre, hvis den har et journalistisk indhold og et journalistisk formål. Så skal man se på den enkelte sag. Hvis der er nogen, der skriver "min nabo er ikke klog i hovedet, han spiller musik dagen lang", så er det måske ikke journalistisk, men materialet skal have et bredere spænd.
Skal virksomheden have en udgivelseslicens, for at blive kaldt journalist?
- Nej.
Men der tales meget om udgivelse af certifikater, knyttet til GDPR. Hvorfor?
- Ja, det er en måde at omgå GDPR på en enkel måde. Altså for at undgå diskussionen med Datatilsynet, som er bedømmelsesmyndighed for GDPR. Du får et udgivelsesbevis fra "Bureauet for Presse, Radio og Tv", koster et par tusinde kroner og er ret let at få.
Kan en privatperson også få et udgivelsesbevis?
- Ja, hvis du har en form for hjemmeside eller database.
Er du med mig? Vi tager det igen i en nøddeskal: Hvis dit fotografi kan betragtes som journalistisk eller kunstnerisk, behøver du ikke støtte din virksomhed på nogen af de juridiske grunde: samtykke, aftale eller interesseafvejning. Dette gælder uanset om du er professionel eller amatør. Og hvis dine billeder ikke kan betragtes som en del af nogen af undtagelserne, såsom det kunstneriske, kan du stadig føle dig tryg ved hjælp af et udgivelsesbevis – for så passerer du under "GDPR-radaren". Men så kræves det, at du har en hjemmeside eller database, for at få et udgivelsesbevis.
Mange hobbyfotografer kan godt lide at fotografere i byen, såkaldt gadefotografering. Kan det anses for at falde ind under kategorien kunstnerisk eller journalistisk?
- Det vil jeg nok sige. For jeg ved ikke, hvor jeg ellers skal placere den.
En gadefotograf kan således fortsætte med at fotografere på et offentligt sted, og så længe de billeder efterfølgende behandles efter kunstneriske formål eller er omfattet af TF eller YGL, kan de formidles i eksempelvis sociale medier.
Ældre billeder er også omfattet af den nye lov
For den professionelle fotograf vil GDPR betyde meget mere at tænke over, såsom hvordan man håndterer persondata i kunderegistre og arkiver.
Den nye lov gælder ikke kun for de billeder, du fotograferer fra 25. maj 2018, men også for alle tidligere billeder, som du har i dit arkiv – hvis billederne nu repræsenterer levende og identificerbare personer.
Men igen, hvis billederne er resultatet af en kunstnerisk frembringelse eller har et journalistisk formål, gælder GDPR ikke for dine arkivbilleder. Men hvis de samme billeder skulle begynde at blive brugt i for eksempel kommercielle sammenhænge, så kan GDPR gælde, og du skal underskrive en aftale eller indhente samtykke.
Der kræves samtykke til personalebilleder
En almindelig situation for mange professionelle fotografer kan være, at en virksomhed hyrer dig til at tage billeder af personalet. I de tilfælde skal både virksomheden og du som fotograf have samtykke fra hver enkelt medarbejder, for at billederne kan håndteres. Der kræves med andre ord to forskellige samtykker, men rent praktisk kan det være nemmest, hvis virksomheden står for at indsamle selv dem, der dækker din billedhåndtering.
- Samtykke skal være frivilligt. Så er spørgsmålet selvfølgelig, hvordan medarbejderen oplever situationen, når en arbejdsgiver siger: "nu skal du fotograferes, vil du være sød og gå med til, at vi fotograferer dig og lægger billedet på hjemmesiden". Men hvis der er et reelt alternativ, at man virkelig skal melde sig ud, så er det frivilligt.
Det er ikke ualmindeligt, at en virksomhed og en fotograf har en aftale via en aftale, som bygherre og leverandør. Men selvom der er en sådan aftale, skal du som fotograf stadig have samtykke fra virksomhedens personale, når de skal fotograferes. For det er hver enkelt medarbejder, der ejer retten til deres personlige data, ikke virksomheden.
Skal der også stå i en aftale, hvor længe fotografen må gemme billederne?
- Ja, det er godt, hvis det står i overenskomsten. Vi anbefaler vores medlemmer (inden for Sveriges Fotografforbund), at de gemmer billederne i fem år, som et tilbud til deres kunder. Det kan selvfølgelig være en endnu længere opbevaringsperiode, faktisk i hele ophavsrettens længde – altså 70 år efter forfatterens død.
Har du ifølge GDPR ret til at beholde billederne efter aftalens udløb?
- Nej, dybest set ikke.
Persondataassistent - ikke ansvarlig
Hvad der yderligere fremgår af forordningen er, at GDPR skelner mellem den persondataansvarlige og persondataassistenten, hvilket betyder, at sidstnævnte handler på vegne af den ansvarlige. Det betyder, at assistenten ikke har noget personligt ansvar uden for selve opgaven.
Sådan en situation kan være, når en privatperson tager billeder under et arrangement, på vegne af fx en virksomhed eller forening. Så længe fotografen (assistenten) ikke selv tager initiativ til at bruge billederne, men kun afleverer dem til klienten, skal assistenten ikke stå for den fortsatte håndtering af billederne - og indhente samtykke til udgivelser . Den del skal varetages af den persondataansvarlige, og skal også tænke over, hvad der gælder i sammenhænge, hvor mindreårige ses på billederne. Den ansvarlige skal i så fald sikre sig, at barnets værge har givet sit samtykke, hvis barnet ikke selv forstår meningen med samtykket. Tommelfingerreglen er børn under 15 år.
"Misbrugsreglen" forsvinder
En ændring med GDPR er, at den såkaldte "misbrugsregel" forsvinder, som nu findes i persondataloven. Denne regel betyder, at "ustruktureret" materiale, altså tekst og billede i en løbende tekst, må anvendes uden samtykke fra dem, der optræder i teksten og på billederne - forudsat at materialet ikke krænker personernes privatliv. Med GDPR skal denne type tekst- og billedmateriale behandles på samme måde som for eksempel strukturerede billeddatabaser, og skal derfor have et lovgrundlag for håndteringen – såsom aftale eller samtykke.
Ifølge GDPR har vi ret til at indhente oplysninger, der er indsamlet om en selv. Hvad betyder det?
Det betyder, at de oplysninger, du har som fotograf, hvis de ikke er tilgængelige i privatsfæren, skal foreligge på forespørgsel inden for rimelig tid.
Skal en person også kunne videregive oplysninger?
- Forudsat at der ikke er billeder, der eksisterer i den private sfære, eller at man ikke kan bruge undtagelserne kunstnerisk eller journalistisk skabelse. Så skal du måske aflevere den.
Grunden til, at denne mulighed eksisterer, er knyttet til det, man kalder "retten til at blive glemt". Vi har ret til at få oplysninger om vores persondata, og kan endda i nogle tilfælde kræve, at de slettes. Det gælder for eksempel i tilfælde, hvor oplysningerne ikke længere er nødvendige til de formål, de er indsamlet til, eller hvis behandlingen er baseret på den enkeltes samtykke, og den pågældende trækker samtykket tilbage.
Hvis du bryder GDPR, hvad sker der så?
- Du kan få en bøde på op til 20 millioner euro, eller fire procent af det globale salg. Så det kan mærkes.
Men Thomas mener samtidig, at GDPR ikke primært henvender sig til fotografer og små virksomhedsejere. Uden loven er der kommet meget til grundet store aktører som Facebook og Google – dem der behandler en stor mængde data og persondata.
- Facebook indsamler både navn, billede og GPS-positionering samt hvilke annoncer du klikker på, hvilke film du ser og hvor længe du ser dem. Dette hjælper med at profilere medieforbrugere, information som de deler eller sælger til deres partnere. Og det er det, det handler om.
Vil det være sværere for dem at gøre det?
- Om ikke andet vil GDPR ændre deres måde at indsamle oplysninger på, eller hvordan de deler dem. Eller de laver bare en ændring i brugsbetingelserne. Det er tilbage at se. Vi har givet dem en masse information gennem årene, og det er prisen for os at bruge deres tjenester, det skal du være klar over.
KILDE: https://www.kamerabild.se/nyheter/lag-upphovsr-tt/gdpr-sp-verkas-fotografer-av-den-nya-lagen