Personvern – del 1

Del 1

Behandling av personopplysninger

Personopplysningsloven/GDPR

Personopplysningsloven og GDPR stiller generelle krav til byråene for all behandling av personopplysninger.

En personopplysning er enhver opplysning som kan knyttes til en identifiserbar person. En slik person kalles «den registrerte» i GDPR. Begrepet «personopplysning» er meget vidt, og omfatter for eksempel bilder og film av fysiske personer som kan identifiseres.

Med behandling menes alt man gjør med personopplysningene, for eksempel innsamling, lagring, publisering og sletting. (Begrepet «behandling» favner altså langt videre enn «offentliggjøring» etter åndsverkloven § 104, se Del 2 – Retten til eget bilde.)

Behandling av film og bilder

Behandling av personopplysninger som inngår i film og bilder vil si alt som skjer med personopplysningene fra øyeblikket de fanges opp av kamera, for eksempel lagring på kameraets minnebrikke, redigering, opplasting på en server, live-strømming eller annen publisering på en nett, overlevering til kunden mv.

Den praktiske hovedregelen er at samtykke fra den avbildede må innhentes for alle slike behandlinger, altså at personene som filmes må samtykke til de planlagte behandlingene før filmingen skjer.

Brudd på personvernreglene kan bl.a. innebære krav om erstatning mot den behandlingsansvarlige, samt i verste fall overtredelsesgebyr ilagt av Datatilsynet på opp til 4 % av virksomhetens samlede globale omsetning.

Samtykke til strømming

I 2020 slo Datatilsynet fast at Kirken må innhente samtykke fra alle som fanges opp av kamera når en gudstjeneste strømmes. Byrået må sørge for det samme ved strømming/opptak av en seremoni.

Kilde: Aftenposten.no 15.2.2020

Den behandlingsansvarlige må følge personvernreglene

Den som bestemmer hva personopplysningene skal brukes til og hvordan, kalles behandlingsansvarlig og har ansvaret for å følge kravene i personvernregelverket.

At byrået er den behandlingsansvarlige innebærer bl.a. at:

Byrået har ansvar for at det foreligger lovlig behandlingsgrunnlag for de behandlingene byrået planlegger for filmopptak. Som behandlingsansvarlig må byrået også sørge for at det foreligger gyldig samtykke fra de personer som avbildes. Hvordan samtykke innhentes i praksis kan du lese om i Del 3.
Det må foretas risikovurderinger, for eksempel må det vurderes om behandlingen fører til at personvernrisikoen for de registrerte er høy, om personopplysninger overføres ut av EØS og om det er lov å behandle personopplysningene.
Byrået må sørge for å informere de registrerte om deres rettigheter, og bør lage personvernerklæring
I tillegg har byrået som behandlingsansvarlig ansvar for å inngå gode nok avtaler. Det må inngås databehandleravtaler med leverandører og samarbeidsparter som personopplysningene skal deles med.
Dersom byrået sammen med en kunde bestemmer hvorfor og hvordan personopplysningene behandles, er kunden og byrået felles behandlingsansvarlige, og begge må nevnes i personvernerklæringen og samtykkeskjema.

Byrået bør i tillegg sørge for at personvernregler i andre lovverk følges. Dersom for eksempel en ansatt synes på filmopptak, må byrået som arbeidsgiver overholde kravene som følger av forskrift om kameraovervåking i virksomhet (FOR-2018-07-02-1107). Byrået bør derfor ha en rutine for kameraovervåking som tas med som vedlegg til de som skal filme eller publisere opptakene. Dersom byrået bruker et produksjonsselskap til å gjennomføre filmingen, bør produksjonsselskapet pålegges å følge slik rutine. Selv om ingen av byråets ansatte skal filmes, har Kirken ansatte og det er en fordel å overholde denne forskriften for å være på den sikre siden.

Praktisk råd

For å redusere ansvaret for byrået, bør klare avtaler inngås med relevante aktører. Det er for eksempel en fordel at byrået har en avtale med eier av lokasjonen om at filming kan skje, typisk kirken på stedet hvor seremonien finner sted. I slik avtale kan det bl.a. stå at kirken plikter å varsle sine ansatte om at filming vil skje, samt at byrået skal sørge for at det skiltes tydelig at filming vil skje og hvor man kan oppholde seg for å unngå å bli filmet. Det kan også oppgis kontaktinformasjon hos byrået dersom noen ansatte i kirken har spørsmål til filmingen.

Det er også en fordel at byrået inngår avtaler med hver tredjepart som ferdig filmopptak skal deles med. Dersom ferdig opptak skal deles med en familie eller en pårørende, anbefales det en kort avtale som viser til byråets alminnelige vilkår samt angir at ferdig opptak kun skal brukes til privat bruk.

Byrået bør også risikovurdere hver tredjepart som skal bistå byrået med noen behandlinger av personopplysninger før personopplysningene deles med tredjeparten. Et eksempel er ved strømming hvor byrået vil bruke en kommersiell strømmekanal. I så fall må byrået velge en strømmekanal som har god nok datasikkerhet og gode nok avtaler med tanke på at personopplysninger vil behandles av slik tredjepart.

Nærmere om databehandleravtaler

Dersom byrået benytter en underleverandør ved gjennomføringen av live-strømmingen og/eller opptaket, er byrået fortsatt ansvarlig for behandlingen av personopplysningene til de som filmes. Byrået må bl.a. sørge for at underleverandør bruker godt nok samtykkeskjema med tilpasset personvernerklæring samt følger andre relevante lovkrav.

En underleverandør kan være et produksjonsselskap som skal filme på vegne av byrået, og dermed blir produksjonsselskapet en databehandler av byrået som behandlingsansvarlig. Derfor må byrået sørge for at det inngås en databehandleravtale som del av avtalen med produksjonsselskapet. Uten en slik avtale kan ikke underleverandøren lovlig behandle personopplysninger.

Byrået kan også selv være databehandler, for eksempel der det er Kirken som bestemmer at seremonien skal strømmes. I slike tilfeller må det inngås en databehandleravtale med Kirken.

Databehandleravtalen må i tillegg oppfylle kravene GDPR stiller til slike avtaler. For eksempel bør det stilles krav til sletting og sikkerhet. Det er også lurt at avtalen med produksjonsselskapet angir rutiner som skal følges av produksjonsselskapet, for eksempel en rutine for kameraovervåking som setter en frist for sletting av opptak.

Kun én behandlingsansvarlig (byrået)

I en begravelse kan det være flere aktører, men det er ofte bare én behandlingsansvarlig. Hvis byrået er aktøren som bestemmer at det skal filmes under en begravelse og hvordan filming skal skje, er byrået behandlingsansvarlig. Dette vil være tilfellet når byrået tilbyr strømming og opptak av seremonier som en tjeneste til sine kunder. At byrået er behandlingsansvarlig medfører en rekke plikter for byrået (se bl.a. punktlisten over).

Delt behandlingsansvar

Dersom byrået i fellesskap med en annen aktør bestemmer hva personopplysningene skal brukes til og hvordan, er byrået og aktøren felles behandlingsansvarlige. Dette vil for eksempel være tilfellet dersom byrået og en TV-kanal eller Kirken sammen bestemmer at seremonien skal strømmes på en bestemt plattform for at flest mulig skal se den live.

I en slik situasjon har partene delt behandlingsansvar. I praksis innebærer dette at begge parter må nevnes i personvernerklæringen og samtykkeskjema, siden de registrerte (de personer som kan bli identifisert under strømmingen) må få klar informasjon om hvem som er de behandlingsansvarlige og hvor de kan sende spørsmål eller på annen måte utøve sine rettigheter som de registrerte etter GDPR.