FrågaÖVRIGTPUL/GDPR21/09/2022

GDPR vid filmupptagningar på allmän plats

Hej! Hur ska man förhålla sig till GDPR när det gäller en dokumentärfilm? (Inte för företag eller liknande). Så här tänker jag: När jag filmar på allmän plats så berättar jag vad jag gör och frågar om någon inte vill synas på film. Då ser jag till att de inte syns. Annars är det ok, med dem som syns i bakgrunden. Sedan låter jag alla som berättar i filmen att skriva under ett medgivande. Något ytterligare att tänka på?

Lawline svarar

Hej och tack för att du vänder dig till Lawline med din fråga! 

Jag tolkar din fråga som att du undrar hur du ska förhålla dig till reglerna i GDPR i ditt filmande. Jag tolkar din situation som att du ska publicera ditt material. Eftersom du i så fall sprider ditt material till en bredare massa är det så kallade privatundantaget i GDPR inte tillämpligt för dig. 

Allmänt om GDPR 

Dataskyddsförordningen, i vardagligt tal GDPR, reglerar hur personuppgifter ska hanteras inom EU:s gränser. Om man börjar med begreppet personuppgift är det ett väldigt brett begrepp. Mer eller mindre allt som kan användas för att identifiera en person är att se som personuppgifter i GDPR:s mening, se art. 4 p. 1 GDPR. 

GDPR ställer ett par krav vid behandling av personuppgifter. Med behandling menas all form av befattning med personuppgifter som till exempel samlande, sammanställande, spridning och så vidare, se art. 4 p. 2 GDPR. Att göra en film där folk syns i bakgrunden är alltså något som kommer omfattas av GDPR.  

Personuppgifter ska enligt GDPR behandlas på ett lagligt, korrekt och öppet sätt, se art. 5 GDPR. Artikeln i fråga listar också de grundläggande principerna som är vägledande för hanteringen av personuppgifter, och den bör läsas noggrant. 

Vad gäller kravet på laglighet innebär det att man har en laglig grund för hanteringen av personuppgifter, vilket i ditt fall inte är ett problem. Samtycke är nämligen en laglig grund för hantering av personuppgifter, se art. 6 p. 1 a GDPR, och som jag förstår det har du samtycke från de som figurerar i upptagningarna. Det krävs att du kan visa att ett samtycke har lämnats, se art. 7 GDPR. Just samtycke som laglig grund har också höga krav. Det krävs bland annat att samtycket är frivilligt, att den som lämnat det vet vad samtycket innebär, att det går att återkalla och att det givits genom en aktiv handling. 

Kravet på korrekthet innebär att man uppgifterna ska behandlas så som den registrerade kan förvänta sig, och att man tagit hänsyn till informationen man lämnat vid insamlingen och att behandlingen inte medför några negativa effekter för de registrerade.

Gällande öppenheten kan sägas att all information rörande behandlingen av personuppgifterna ska vara lättillgänglig och begriplig. Det ska även tillhandahållas information om lagringen när detta är nödvändigt, se art. 13 GDPR. 

Kraven på den som är personuppgiftsansvarig

Den som behandlar andras personuppgifter kallas för personuppgiftsansvarig. Denna har det övergripande ansvaret för att se till att reglerna i förordningen följs, se art. 24 GDPR. Detta är med andra ord du själv. 

Enligt GDPR ställs en rad tekniska krav på själva lagringen av personuppgifterna, vilka inte är lämpligt att återge helt i detalj här. Det är något som måste avgöras från fall till fall beroende på uppgifternas känslighet, syftet bakom behandlingen och så vidare, men sammanfattningsvis kan man säga att man så långt det tekniskt är möjligt ska säkerställa att uppgifterna inte kommer någon annan till handa. Att ha filer lagrade på en gemensam DropBox eller liknande tjänst är till exempel inte att rekommendera. Vidare är det viktigt att man inte bara sparar en massa uppgifter på hög, utan att man kontinuerligt ser över vilket material man har och om det fyller sitt syfte, se art. 25 p. 2 GDPR och även art. 5 GDPR. Annars ska uppgifterna raderas. 

Mina råd

I dagsläget är GDPR fortfarande ett relativt nytt och outforskat rättsområde. Det är dessutom något som ställer höga krav på den som behandlar personuppgifter. Sammanfattningsvis är det viktigt att de som figurerar i dina filmer har gett ett samtycke, att du är medveten om de principer för hantering av personuppgifter som listas i art. 5 GDPR, att ni inte sparar mer material än nödvändigt och att ni kontinuerligt ser över era rutiner för lagring och radering av uppgifterna. Det är du som leder projektet som med största sannolikhet kommer vara den personuppgiftsansvariga, och därför är det viktigt att du ser till att ni minimerar era risker för att uppgifterna ni hanterar kommer obehörig till handa. 

Jag skulle även råda dig att ta kontakt med integritetsskyddsmyndigheten (tidigare kallad Dataskyddsinspektionen). Det är en myndighet med spetskompetens på området, och de bör kunna ge dig fler konkreta råd kring vad du ska tänka på när du ska ge ut en film med upptagningar från allmän plats. 

Om du skulle ha några frågor kring mitt svar är du välkommen att höra av dig till mig på: Daniel.Hogman@lawline.se 

Hoppas att du fick svar på din fråga!  

Daniel HögmanRådgivare
Vi använder Cookies
Vi använder cookies för att ge dig bästa möjliga upplevelse på vår webbplats. För att anpassa dina cookie-inställningar, vänligen klicka på “Mer information”