Fotografi

GDPR för fotografer och influencers 3: Vad du behöver göra innan 25 maj 2018

Detta är en inläggsserie om GDPR is tre delar. Gå till första delen här. I denna del går jag igenom vad du behöver göra innan den 25 maj 2018 och ger tips på hur du kan tänka runt säkerhet.

Samtycke

En viktig skillnad mellan GDPR och PuL är att det behövs aktiva samtycken. Personen som lämnar sina uppgifter måste tydligt informeras om vad dessa specifika uppgifter kommer att användas till och därefter ge sitt samtycke. Det görs lättast genom att ha en obligatorisk checkruta i alla formulär på din hemsida. Här ska du också informera om att samtycket kan tas tillbaka när som helst.



Ett enkelt sätt att upprätta ett samtycke samtycke är att du frågar någon via e-post om du får publicera en bild på henom och berättar om i vilket syfte du publicerar bilden. Ett samtycke kan också vara muntligt, men kom ihåg att det är du som behandlare av personuppgifter som har bevisbördan om ord står mot ord.

Ett samtycke alltid kan dras tillbaka. Om någon t.ex. vill att du ska ta bort en kommentar som denne gjort på din blogg är du skyldig att göra det. Alternativt kan du avidentifiera kommentaren (d.v.s. ta bort namn, e-postadress, IP-nummer och länk till hemsida), förutsatt att innehållet i själva kommentaren inte avslöjar vem som skrivit den. Beroende på bloggplattform är det kanske inte alltid är möjligt att ta bort denna information utan att ta bort hela kommentaren.

Läs mer: Datainspektionen – Samtycke

Avtal

Detta gäller fotografers avtal med sina kunder (privatpersoner) och vad som kan vara viktigt att lägga till eller förändra i den avtalsmall du använder dig av:

Hur länge du tänker lagra fotografier som innehåller personuppgifter.
Vad du kommer att använda fotografierna till.
Att du eventuellt kommer lämna ut kundens kontaktuppgifter till tredje part (t.ex. till assistent eller andrafotograf) för att kunna fullgöra ditt uppdrag men att du informerar om så sker.

Förklara för dina kunder varför du gärna sparar bilderna och vad du kommer att använda dem till. Anledningarna kan vara flera: För att kunna bistå dem med nya fotografier om de förlorar sina, för att kunna använda fotografierna i din marknadsföring eller helt enkelt för att du vill ha en historik över din utveckling som fotograf, anledningarna kan vara många.

De avtal du som influencer skriver med samarbetspartners omfattas inte av GDPR i de fall det är ett företag du skriver ett avtal med. Däremot måste du få samtycke från eller skriva avtal med de eventuella modeller du använder i fotografier.

Läs mer: Svenska fotografers förbund – Fotografer kommer att påverkas av den nya lagen GDPR

Lämpliga rutiner och säkerhetstänk

Gå regelbundet (t.ex en gång om året eller oftare) igenom alla platser där du lagrar personuppgifter och bedöm om de ska finnas kvar eller inte.

Du måste vara rädd om personuppgifterna du behandlar och inte låta dem spridas utan att du har tillåtelse. Använd uppdaterade antivirus-program, använd lösenord för att komma in i din dator och låt inte uppgifter ligga framme där andra personer kan få tillgång till dem. Jobbar du ofta från offentliga platser kan det vara bra att investera i ett insynsskydd till skärmen.

Till sist

Kontentan är att du behöver vara tydlig med hur du hanterar information om andra personer. Ibland kan det så klart vara knepigt att skilja på personuppgifter som du har som privatperson och de som du använder i din verksamhet. Här kan jag tyvärr inte ge något annat råd än att lyssna till ditt eget omdöme. Fråga dig själv i vilket syfte du har informationen. Försök i möjligaste mån att förvara privat och verksamhetsrelaterad information separat.

I korthet behöver du tänka på det här:

  • Informera om hur personuppgifter används (i kommentarsfält, e-postprenumerationer, nyhetsbrev m.m.)
  • Se till att få samtycken eller skriv avtal.
  • Registrera inte fler personuppgifter än nödvändigt.
  • Spara inte personuppgifter (text, foto eller video) längre än nödvändigt. Försök ha ha en återkommande rutin för rensning.

Läs mer:
verksamt.se kan du gå igenom en guide med nio frågor som talar om vad du behöver göra för att förbereda dig för GDPR. (Här nämns att du behöver en registerförteckning men det gäller bara företag med över 250 anställda.)
Datainspektionen – Förordningstexten i sin helhet

Jag hoppas att denna serie om GDPR har varit till hjälp. Skriv gärna en kommentar om du tycker det finns andra aspekter att ta upp eller om du hade nytta av innehållet. Det vore intressant att veta om detta är något jag bör skriva mer om. Vi kommer med största sannolikhet att se en rad vägledande domar som gäller GDPR i framtiden, därför kan delar av denna information komma att bli inaktuell. Jag ska försöka hålla er uppdaterade i frågan.

Kommentera

E-postadressen publiceras inte och kommer inte att lämnas ut till tredje part. Du kan när som helst begära att få kommentaren raderad. Obligatoriska fält är märkta * - OBS! Har haft lite krångel med captcha/säkerhetsfrågan. Jag jobbar på detta men fungerar det inte att skicka en kommentar, prova att ladda om sidan så att en ny captcha-fråga laddas.

fem + 7 =