Livestreaming og GDPR

Bedrifter som livestreamer, lagrer bilder og video må forholde seg til GDPR og gjøre sine vurderinger i forkant av bruken.

29.Jul 2021
Hva er GDPR

Personvernforordning (General Data Protection Regulation) er en lov EU har vedtatt, som skal gjelde i alle EU- og EØS-landene. I Norge trådte den i kraft 20. juli 2018, hvor det ble vedtatt en ny Lov om personopplysninger. Dette har ført til store endringer, for både offentlige myndigheter og private selskaper som har måtte gjennomgå rutiner og praksis knyttet til deres behandling av personopplysninger.

Hva betyr GDPR for livestreaming, lagring av bilder og video i din bedrift?

Loven om GDPR gjelder for bortimot alle bedrifter, og derfor bør alle sette seg inn i hva dette er og hvordan det gjelder for dem. Det går fint å livestreame, lagre bilder og video, men det er viktig hvordan bedriften behandler det. Det å følge personvernprinsipper og skille mellom portrett- og situasjonsbilder kan gjøre navigeringen enklere.

Personvernprinsipper

Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette prinsippet går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger (bilder og film) og iverksette tekniske og organisatoriske tiltak som gjør at loven følges. Dette betyr at hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd - før de samler inn og bruker personopplysninger.

Portrettbilder

Bilder som viser en eller flere bestemte personer, altså bilder der de enkelte personene er hovedmotivet kalles også portrettbilder. Dersom du skal publisere slike bilder på nett eller dele dem med andre (selv om det er i lukkede grupper), må du ha samtykke fra den eller de som er avbildet før bildet publiseres. Dette gjelder i den avbildedes levetid og 15 år etter utløpet av personens dødsår. Det gjelder også film/video, og det gjelder enten du selv har tatt bildene eller bare videreformidler dem.

Når du skal publisere eller dele bilder eller film der personer er motivet, må du tenke gjennom om det du gjør er lovlig. Som en hovedregel, kan det for eksempel være lurt å alltid be om samtykke først.

Situasjonsbilder

Situasjonsbilder kan defineres som bilder der aktiviteten eller hendelsen på bildet er det egentlige motivet. Akkurat hvem som er med på bildet er da mindre viktig enn hovedinnholdet. Slike bilder kan gjengis offentlig uten samtykke fra de som er avbildet såfremt bildet gjengir forsamlinger eller hendelser som har allmenn interesse.

Det er imidlertid viktig å være klar over at selv om publiseringen av et situasjonsbilde ikke baseres på et samtykke, vil det fortsatt være en behandling av personopplysninger hvis man kan kjenne igjen enkeltpersoner, og da gjelder personopplysningsloven.

Det kan av og til være vanskelig å avgjøre hva som er et situasjonsbilde og portrettbilde, eller om situasjonen kan være krenkende for noen. Som hovedregel bør man derfor alltid be om samtykke dersom bilder eller filmer skal deles.

Før man publiserer kan man derfor for eksempel foreta en interesseavveiing. Det betyr å gjøre en vurdering av om formålet med publiseringen er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Ved bruk av bilder og video der samtykke ikke kan innhentes eller interesseavveiing er uklar, må kjennetegn som gjør at en person kan bli gjenkjent sladdes.

Dokumentert plan

Bedrifter må ha en dokumentert plan på behandling av video og bilder. Det er nevnt under personvernprinsipper. Bedrifter kan ikke samle inn masse data uten noe bestemt formål.

Dokumentert plan for streaming og lagring
  • Hva kan filmes
  • Når kan det filmes
  • Hvilken informasjon må gis til personer som filmer
  • Hva kan lagres
  • Hva er formålet/ene med lagring
  • Hvordan kan lagrete filmer og bilder brukes
  • Hvor lenge skal det brukes
  • Hvor lenge kan det lagres
  • Hvem har tilgang
  • Hvem kan administrere
Streamings plattformen Incidentshare og GDPR

Streamings plattformen IncidentShare til Incendium ivaretar sikkerheten for hvordan bilder og film formidles og lagres ihht. GDPR, men hver enkelt bedrift er ansvarlige for streaming og lagring av sine bilder og video opptak.

I brannvesener som benytter 110-sentralen sin IncidentShare plattform, er hvert enkelt brannvesen selv ansvarlige for lagring av sine bilder og video opptak, selv om det er 110-sentralen som administrer plattformen.

GDPR i Incidentshare
  • Data er kryptert fra ende til ende.
  • Tilgang med brukernavn og passord
  • Administrator styrer tilgangsnivå
  • Rollebasert brukerstyring
  • Alle brukere må, hvis bedriften bestemmer det, lese og godkjenne dokument om regler for bruk for å få tilgang til plattformen før første gangs bruk.
  • Databehandleravtale inngås med lisens eiere. Avtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren (Incendium) kan behandle opplysninger.
  • Årlig revision på datasikkerhet: ISAE 3000

Merk:

Innholdet i denne artikkelen kan ikke betraktes som juridisk rådgivning og innholdet kan kun benyttes til informasjon.

Les mer: Aktuelt