Sveriges Kommunikatörer

Tänk på GDPR i kommunikationsarbetet

Alla verksamheter måste följa dataskyddsreglerna (GDPR) vid behandling av personuppgifter. Det gäller oavsett om det är en offentlig myndighet, ett privat företag, en förening eller någon annan typ av verksamhet.

Lästid: 4 minuterPublicerad: 

Dataskyddsreglerna grundar sig i de mänskliga rättigheterna; respekt för privat- och familjeliv och skydd för personuppgifter.  

Det är viktigt att ha kunskap om GDPR vid kommunikationsarbetet. Vid kommunikation behandlas personuppgifter bl.a. genom användning av namn, bild och film och röst. Nedan kommer några tips om hur du som arbetar med kommunikation också ska få kontroll över personuppgiftsbehandlingen.  

Rutiner och dokumentation för GDPR och kommunikation 

GDPR ställer krav på att organisationen ska ha rutiner och processer på plats för hantering av personuppgifter. Rutinerna ska finnas dokumenterade och organisationen behöver upprätta både interna och externa rutiner.  

De interna rutinerna ska säkerställa att organisationen arbetar med dataskyddsfrågor på ett strukturerat sätt. Jag brukar föreslå att organisationen tar fram en rutin för personuppgiftsbehandling i kommunikation. Det finns inga färdiga mallar utan varje organisation måste själv ta ställning till hur den ska uppfylla GDPR och vilka rutiner som ska tillämpas. En rutin för kommunikation kan exempelvis spegla ställningstaganden i följande frågor: 

  • Hur ska vi tänka när vi fotograferar och filmar? Vilken laglig grund ska vi stödja behandlingen på? Ska vi använda samtycken eller avtal eller kan vi använda grunden allmänt intresse eller intresseavvägningen? 
  • Hur ska vi tänka när vi tar med barn i kommunikation?  
  • Hur ska vi tänka när vi har interna utbildningar som filmas eller sänds via digitala system?  
  • Ska vi göra skillnad på kommunikation via intranätet eller extern kommunikation vid behandling av personuppgifter? 
  •  Hur ska vi tänka när vi fotograferar större evenemang?  
  • Hur kan vi säkerställa att de som finns med i vår kommunikation får den information som krävs enligt GDPR?  
  • Hur kan vi ta ansvar för personuppgiftsbehandling i sociala medier? 
  • Har vi personuppgiftsbiträdesavtal på plats med våra leverantörer?  
  • När ska vi genomföra konsekvens- och riskbedömningar?  

Extern personuppgiftspolicy 

Utöver att ta fram en intern rutin för kommunikation behöver organisationen ha information tillgänglig på webbplatsen om hur personuppgifter behandlas. Idag finns praxis genom ett mål mellan tillsynsmyndigheten IMY och Klarna bank (Kammarrättens dom mål nr 2829-2) om hur en personuppgiftspolicy ska utformas. Principerna är tillämpliga på samtliga verksamheter. Det ursprungliga beslutet går att hitta här: https://www.imy.se/globalassets/dokument/beslut/2022/beslut-tillsyn-klarna.pdf 

Personuppgiftsbehandling och AI 

Det blir allt vanligare att använda AI i kommunikationsarbetet. Användning av generativ AI kan ske på ett sätt som är förenligt med de grundläggande principerna för dataskydd. Detta förutsätter att åtgärder vidtas bland annat för att minimera användningen av personuppgifter och att behandlingen av personuppgifter sker på ett öppet sätt i förhållande till den enskilde. För att ladda upp material i ett AI-verktyg som innehåller personuppgifter krävs att ni har en laglig grund t.ex. ett samtycke och följer principerna i dataskyddsförordningen.  

Bildanvändning och upphovsrätt 

Bilder som skapas av en människa får upphovsrätt. Enligt den praxis som finns idag inom EU får AI-genererade bilder däremot inte någon upphovsrätt. Utvecklingen kan komma att ändras i och med att AI-verktygen utvecklas. Om du fotograferar som ett led i din anställning är huvudregeln att upphovsrätten uppstår hos dig men övergår till arbetsgivaren.   

Upphovsrätten är en ensamrätt som innebär att fotografen kan bestämma över hur bilderna får användas. När ni köper bilder från externa fotgrader är det därför viktigt att tänka på att reglera användningen genom avtal. Avtalsmallar kan vara bra att använda men jag rekommenderar alltid att organisationen skapar en egen mall som är anpassad till verksamheten. Annars riskerar det att bli fel.    

Vad bör regleras i avtalet?   

Det är exempelvis viktigt att reglera användningsrätten; hur bilderna får användas och var. Ska ni använda dem i sociala medier behöver ni reglera detta. Kan det förekomma människor på bilderna behöver ni reglera personuppgiftsbehandlingen. Ni kan exempelvis låta fotografen inhämta samtycke åt er eller se till att det modellavtal ni har tagit fram används. 

Upphovsrätt till det som avbildas  

Tänk på att designföremål, statyer placerade utomhus och målningar som syns i bakgrunden av ett fotografi kan ha upphovsrätt och behöva godkännas av upphovsmannen. Ni behöver antingen ta en kontakt med konstnären för att inhämta tillstånd eller ge ersättning för användningen genom licens hos Bildupphovsrätt i Sverige (BUS) https://bildupphovsratt.se/om-bildupphovsratt. Bildupphovsrätt samlar in ersättning för upphovspersonernas räkning när deras verk används i olika sammanhang.     

Katarina Ladenfors är advokat och specialiserad på juridik som rör kommunikation. Katarina arbetar med GDPR, marknadsrätt, upphovsrätt och avtalsrätt i Sverige och Norden.

Katarina är särskilt inriktad på regleringen om dataskydd på kommunikationsområdet. Katarina är även anlitad som föreläsare av universitet, organisationer och företag. Hon håller kurser inom Digital Kommunikationsjuridik, Bildjuridik, AI och Styrelsejuridik.

Hon är verksam som processombud vid domstol och biträder vid förhandlingar med myndigheter och privata organ.