Den 25 maj ersätts personuppgiftslagen PuL, med den mer långtgående Dataskyddsförordningen – även på svenska använder vi ofta den engelska fökortningen GDPR. Detta är alltså en EU-förordning, och till skillnad från ett EU-direktiv slår den rakt igenom i alla medlemsländer. Ett direktiv ska medlemslandet själv tolka och lagstifta utifrån.
Grundorsaken till GDPR är att skydda privatpersoner från att deras personuppgifter sprids hur som helst. Det är förstås bra! Men i mitt jobb som kommunikationsstrateg i offentlig sektor kommer det innebära en hel del merjobb. En effekt av direktivet är faktiskt att vi måste föra MER register över folk och deras personuppgifter än innan. Tidigare har t ex osorterade personuppgifter som inte är sökbara varit helt ok. Dit kan man till exempel hänföra bildarkiv – för en bild på en person är en personuppgift. Vi får visserligen fortfarande inneha bilder på personer, men vi får inte använda dem om vi inte kan visa på en av två grundprinciper. Den ena är att det allmänna intresset är tyngre än privatpersonens integritet. Här hamnar för det mesta journalistiken, och såvitt jag kan se kommer GDPR inte påverka den så himla mycket. (men OM den kommer göra det är det allvarligt – det hotar pressfriheten, en av våra viktigaste demokratiska grundpelare). Däremot kommer det vara svårare i till exempel en kommunal verksamhet att hävda den principen. Då återstår samtyckesprincipen. Det innebär att vi får använda en personuppgift (publicera en bild) om personen givit samtycke. Detta samtycke kan precis som tidigare vara muntligt, men det kommer vara mycket högre krav på organisationen att kunna bevisa samtycke. Dessutom får samtycket inte se ut hur som helst, lite ordning och reda måste det vara. Samtycket måste till exempel vara tidsbegränsat och specificerat. Det går inte att ha ett samtycke i stil med ”vi får använda alla bilder som föreställer dig hur vi vill tills vidare”. Det måste vara möjligt att dra tillbaka, lika enkelt som det lämnats. Det måste ges aktivt, fristående, frivilligt och separat. Du kan t ex inte säga ”i samband med att du registrerar dig här ger du oss tillåtelse att använda din bild på vår webbsida”.
En annan viktig sak att ha koll på är att GDPR, till skillnad från upphovsrättslagstiftningen, inte gäller privatpersoner. Om du som privatperson ska använda en bild måste du fortfarande ha upphovsmannens tillstånd att använda den, men du behöver inte ha samtycke från motivet på bilden.
Efter gårdagens femtimmarseminarium på ämnet drog jag två dystra slutsatser:
- Detta är en lag som kommer ge oss sämre bilder. Vi kommer få fler bilder utan människor, med människor bakifrån och i motljus. Dåliga bilder där personer inte är identifierbara är ju ok att använda. Dessutom tror jag det finns en risk att folk blir återhållsamma med sina samtycken och bara samtycker till väldigt neutrala bilder utan uttryck och karaktär. Själva grejen att du måste samtycka riskerar att göra dig misstänksam och försiktig. Dessutom försvårar samtyckesformalian själva fototillfället.
- Det kommer krävas mycket administration för att organisera samtycken och det är inte helt enkelt att utforma dem rätt. Nu har ju detta inte prövats i domstol än, men jag får känslan av att det kommer ställas tuffare krav på samtycke för att bli fotograferad än för att ha sex.
Det här direktivet kommer säkert sätta sig i rutinerna så småningom det med, och det kommer bli klarare exakt vad som gäller med tiden. Men just nu konstaterar jag att jag och mina kollegor har ett stort jobb framför oss – GDPR gäller även retroaktivt, så antingen måste vi samla in samtycken för en massa arkivbilder eller så får vi helt enkelt kassera dem. Dessutom måste vi hitta bra och smidiga system, inte bara för att samla in samtycken utan även för att organisera dem så vi lätt ser vad de gäller för – och så att alla lätt kan dra tillbaka sina samtycken när de vill.