Intervju med advokat Jan Sandtrø

NFF har tatt en prat med advokat Jan Sandtrø som er spesialisert innenfor området juss og teknologi. Han vil forsøke å navigere oss gjennom begreper som personvern, GDPR, datalagring og risikovurdering.

Intervju med advokat Jan Sandtrø

Mange yrkesgrupper ser i økende grad behov for å holde seg oppdatert om regelverket rundt personvern og datasikkerhet. Ikke minst er dette viktig for yrkesfotografer som produserer og lagrer personsensitiv informasjon hver eneste dag. Regelverket er i stadig endring, det er tett knyttet opp mot europeiske direktiver, og tolkningen av reglene kan fortone seg som en uoversiktlig krattskog av påbud og forbud.

Jan Sandtrø har utarbeidet to nyttige maler for medlemmer av Norges Fotografforbund: personvernerklæring og samtykkeskjema for fotografering av barn. Mer informasjon om disse malene finner du under intervjuet.

Tekst: Heidi Thon, Foto: Anna Maria Solum

NFF har tatt en prat med advokat Jan Sandtrø som er spesialisert innenfor området juss og teknologi. Han vil forsøke å navigere oss gjennom begreper som personvern, GDPR, datalagring og risikovurdering.

Hva betyr egentlig personvern og GDPR, kort fortalt?

Personvern er å beskytte opplysninger om enkeltpersoner. Personopplysninger kan kun benyttes til det formålet opplysningene er gitt, og skal ikke gjenbrukes eller benyttes i andre sammenhenger. Opplysningene skal altså kun brukes i kontekster vi har akseptert og slik vi er informert om at de vil benyttes. Et godt eksempel på behandling av personopplysninger som ikke alltid er greit, er hva sosiale medier gjør med opplysningene våre. Her får vi lite informasjon om bruken og det er vanskelig for oss å kontrollere hva opplysninger om oss selv brukes til. Personvernregelverket, og da spesielt GDPR, skal gi oss rettigheter for å håndheve vår rett knyttet til personopplysninger.

Hvilke opplysninger regnes som personopplysninger? Er for eksempel et portrettfoto en personopplysning, og i så fall, hvorfor?

Alle opplysninger som kan knyttes til en fysisk person er personopplysninger. Alle. Et bilde er derfor en personopplysning. Det kan være at man ikke vet hvem som er avbildet, men det at personer på et bilde kan identifiseres på noen måte gjør at det er en personopplysning. Et tips kan være: Er du usikker på om noe er en personopplysning, så bør du håndtere det som om det er en personopplysning.

Hva innebærer overføring av personopplysninger til andre land, og hva må fotografer være oppmerksomme på i denne sammenheng?

I dag er det problematisk å overføre personopplysninger ut av EØS. Dette følger av en dom fra EU-domstolen. Selv det å bruke en leverandør innenfor EØS som er eid av et selskap utenfor EØS, som for eksempel Google, kan by på problemer. Det høres veldig strengt ut, men Datatilsynet har søkelys på dette, og det kan bli saker og bøter etter hvert. Velg derfor helst leverandører som holder til og behandler personopplysninger innenfor EØS, om det er mulig.

Med innføring av GDPR-regelverket, stilles det strengere krav til både datalagring og sikkerhet, men også til hvor lenge dataene kan lagres. Mange kunder ønsker at fotografen sørger for lagring av deres fotografier over flere år. Lar det seg gjøre med dagens regelverk, og kommer det i så fall inn under det som kalles berettiget interesse?

Det lar seg gjøre å lagre fotografier over mange år. Det meste kan gjøres etter regelverket, bare det gjøres riktig. Lagring kan skje etter berettiget interesse, det vil si at man som fotograf har en interesse av å lagre kundenes bilder, og at dette ikke er negativt for kundenes personvern. En slik vurdering av berettiget interesse må da gjøres – og dokumenteres (det vil si skrives ned). Jeg vil imidlertid anbefale at det heller inngås en avtale med kundene hvor det er klart at bildene skal kunne oppbevares i et visst antall år. Da lagrer man bildene med grunnlag i avtalen. Det kan for eksempel tas inn som et punkt i kundekontrakten at bildene skal lagres i 10 år. Da kan det også tas betalt et beløp for oppbevaringen, så blir det vinn-vinn for begge parter. NFF-medlemmer har tilgang til et forslag til bestemmelse som kan tas inn i kontraktene.

Det snakkes mye om risikovurdering, men hva betyr egentlig det i GDPR-sammenheng?

Det er et generelt krav i GDPR om å risikovurdere bruken av personopplysninger. En risikovurdering er å se på situasjoner som kan oppstå som bryter med personvernet og hvilke konsekvenser slike brudd kan ha, for eksempel at en harddisk som ikke er kryptert kommer på avveie. Hvor sannsynlig dette er, og hva som kan skje som en konsekvens av det, er da en del av risikovurderingen. Deretter må man vurdere om risikoen kan reduseres, og da vil for eksempel kryptering av harddisken være et bra tiltak. Er risikoen akseptabel, etter at tiltak er iverksatt, så er det ok å gå videre med bruken av personopplysningene.

Er det punkter innenfor GDPR og personvern som du mener det er spesielt viktig for en fotograf å ta med i sine oppdragsavtaler med kunder, enten de er bedrifter eller privatpersoner?

Det er en plikt etter GDPR å informere om all behandling av personopplysninger. Mange gjør det i personvernerklæringer, men jeg vil anbefale at det i kontakten med kunden opplyses om hvilke personopplysninger som behandles og hvordan behandlingen gjøres, hvilke rettigheter kunden/de avbildede har, som å få utlevert sine opplysninger, kreve at opplysningene slettes og så videre. Det går også an å gjøre kundene oppmerksom på personvernerklæringen, ved for eksempel å ta inn henvisning til erklæringen i kundekontrakten. NFFs medlemmer kan benytte mal for personvernerklæring som et godt utgangspunkt.

Dersom uhellet er ute og man mistenker eller vet at fotografier er kommet på avveie, hvordan går man da frem for å minimere skaden? Må det for eksempel rapporteres inn til relevante myndigheter?

Skjer det at fotografier eller andre personopplysninger kommer på avveie, så skal dette meldes til Datatilsynet. Plikt til å melde gjelder når hendelsen innebærer en risiko for personvernet til dem det gjelder. Dette er det ikke helt enkelt å vurdere, og er det for eksempel et portrettbilde som blir feilsendt på epost, så vil det nok ikke ha stor betydning for den det gjelder. Er det et bilde som er mer sensitivt, så bør det meldes. Sendes det mange bilder av flere personer, så kan det være lurt å melde. Er det en sikkerhetsfeil på en nettside slik at bilder ligger åpent, så er det også noe som må meldes. Alt i alt så er det avhengig av den enkelte situasjonen om Datatilsynet skal varsles.

 Test sitat

Hva mener du det er spesielt viktig for fotografer å holde seg oppdatert på den kommende tiden?

Sørg for å velge sikre løsninger. Det er usikre tider nå for IT-sikkerhet, og mange blir hacket og utpresset. Velg helst løsninger av leverandører som er anerkjente og som man stoler på. Og helst velg løsninger som behandler og lagrer personopplysninger innenfor EØS. Dette kan være vanskelig, men anbefales på det sterkeste.

Relevante nettsider for utfyllende informasjon: