Vårt advokatfirma ble nylig kontaktet av en pårørende som hadde opplevd nettopp dette. Sykehjemmet hadde riktignok sendt ut et infoskriv til de pårørende der det ble opplyst om at en fotograf ønsket innpass og rett til å fotografere beboerne på sykehjemmet i forbindelse med et fotoprosjekt med sykdom og død som tema og man fikk beskjed om at man kunne «reservere seg» mot fotografering. Altså, man måtte aktivt si ifra dersom man ikke ville at den man var pårørende for skulle delta.Da den pårørende, som ikke var verge for den syke eldre, kom til sykehjemmet så hun at flere av de eldre ga uttrykk for at de syntes fotograferingen var ubehagelig, men det fremstod som at de hverken hadde makt eller ork til å motsette seg det.Reglene knyttet til bildetaging, og ikke minst publisering av bilder, har blitt hakket mer komplisert etter at EUs personvernforordning (GDPR) trådte i kraft i fjor, men gir det bedre beskyttelse i slike tilfeller?Fotografivirksomhet er også underlagt GDPR GDPR stiller strenge krav til all «behandling» av personopplysninger. Det gjelder også der det er mennesker som er avbildet og man på bildene kan identifisere disse. «Behandling» omfatter alt man gjør med bildet, som for eksempel å lagre dette på minnebrikken, systematisere det og alle andre aktiviteter rundt oppbevaringen; til og med slettingen er en behandling. Det vil si at fotografen «behandler» personopplysninger fra det øyeblikk han knipser et bilde.Det er ikke et vilkår for å falle inn under regelverket at det er lett å se hvem personen er, så lenge det er realistisk mulig å finne dette ut, for eksempel via opplysninger rundt personen på bildet. Dersom et bilde for eksempel er sladdet, vil kanskje lokasjon, klær, navn på sykehjemklær, tatoveringer og kroppsform likevel være nok til å identifisere den avbildede, særlig for personer som kjenner vedkommende godt. Da er ikke bildet anonymisert og det inneholder personopplysninger.Også kunstprosjekter må overholde GDPR For at fotografen lovlig skal kunne behandle de personopplysningene som er på bildene er det et vilkår at man trenger det som kalles behandlingsgrunnlag, med mindre man faller inn under enkelte unntak som for eksempel at formålet utelukkende er kunstnerisk eller journalistisk. I korte trekk betyr dette at dersom prosjektet ikke faller inn under disse unntakene, er det stort sett nødvendig med et samtykke fra den det gjelder for å kunne gjennomføre et slikt prosjekt.Dersom man forutsetter at fotografens prosjekt faller inn under kunstnerunntaket er fotografen fortsatt underlagt regelverket i GDPR og må forholde seg til en rekke strenge krav til hvordan bildene kan oppbevares og hva fotografen kan gjøre med bildene. For eksempel er det ikke mulig for en fotograf som har basert seg på kunstnerunntaket å senere bruke bildene i reklamevirksomhet, da må samtykke til denne typen utnyttelse skaffes. Siden bildene i denne situasjonen inneholdt informasjon om personers helsetilstand stilles det ekstra sterkt krav til slikt samtykke i henhold til GDPR.Dersom prosjektet ikke faller inn under unntakene og det er sykehjemmet som har gitt dette samtykket på vegne av pasientene, er dette samtykket ingenting verdt med mindre sykehjemmet har sikret et gyldig samtykke fra de avbildede eller deres verger. At sykehjemmet har sendt ut en e-post, som i tilfellet vi ble kontaktet om, er ikke tilstrekkelig, da samtykke krever en aktiv handling og ikke en passiv unnlatelse om å protestere.Å ta et bilde vs. å publisere et bilde – publisering krever uansett samtykke Selv om det skulle tenkes at fotografen har satt seg inn i alle regler rundt GDPR og overholder disse, er det ikke tilstrekkelig for å kunne publisere bildene som er tatt. Den nye åndsverkloven som trådte i kraft i sommer viderefører den særnorske personvernregelen om rett til eget bilde. Regelen sier at dersom man ikke har samtykke fra den avbildede, kan ikke bildet publiseres med mindre man faller inn under lovens unntak. Unntakene er primært begrunnet i de samme hensynene som ytringsfriheten og relaterer seg først og fremst til om avbildningen av personen har aktuell/allmenn interesse og om vedkommende kun er i bakgrunnen, men også en rekke andre unntak som er snevre og relativt spesifikke. I et tilfelle som på sykehjemmet er det åpenbart at det kreves samtykke fra de avbildede da et slikt kunstprosjekt bare i teorien kan tenkes å falle inn under noen av unntakene.Publisering av personbilder kan også være straffbart I tillegg har straffeloven en rekke regler som kan anvendes i saker om publisering av bilder av personer. I § 390 finnes en regel som gir domstolene mulighet for å ilegge straff for ‟den som krenker privatlivets fred ved å gi offentlig meddelelse om personlige eller huslige forhold.” Domstolene har tolket denne bestemmelsen vidt slik at krenkelse av privatlivet både favner over hevnpornobilder, bilder som viser at man har det rotete hjemme, snikfotografering av nakne mennesker på stranda – og så klart også bilder av mennesker som er syke eller døende. I den siste tiden har også problemstillingen knyttet til selve oppbevaringen av slike bilder blitt aktualisert og man ser at både i inn- og utland er domstolene tilbøyelige til å mene at dette også skal slås ned på med hjemmel i gjeldende regelverk. Men gjelder dette etter at den avbildede er død? Verken åndsverkloven eller GDPR varer for evig, og mens åndsverkloven gir personer vern i hele 15 år etter at man har gått bort, setter GDPR strek i det øyeblikket personen er død. Dette betyr likevel ikke at fotografen kan ta bildene for deretter å vente på at personen faktisk går bort, siden selve fotograferingen og oppbevaringen av bildene, fra det øyeblikket bildet blir tatt frem til personen dør, må oppfylle kravene i GDPR.Åndsverkloven stiller uansett krav om samtykke fra de etterlatte for publisering av bildene, med mindre fotografen er villig til å vente i 15 år etter personen er avdødd til å benytte de.Misbruk av opplysninger om mennesker som er i en sårbar situasjon kan gi høyere bot – i alle fall på fødestua Fødende britiske mødre har i mange år måttet forholde seg til at selgere, timer etter fødselen, stakk hodet inn på fødestua og ba mødrene gi dem informasjon om seg selv og barnet. Disse personene kom inn på rommene ved sengekanten og samlet inn informasjonen og forsøkte å selge produkter til mødrene via sin kundeklubb. Helseopplysninger og andre opplysninger om mor og barn solgte de til andre kommersielle aktører i mor/barn-industrien – uten at mødrene visste om dette. Mødrene visste heller ikke alltid at disse personene ikke var helsepersonell på sykehuset, men kommersielle aktører, for eksempel fra selskapet Bounty, siden de ofte kledte seg i antrekk som kunne indikere at de jobbet på sykehuset og vandret inn på fødestuen uhindret. Mødrene trodde derfor at de gav opplysninger til sykehuset og ikke til en kommersiell aktør.Dette likte det britiske datatilsynet dårlig. Da datatilsynet ble gjort oppmerksom på dette gav de Bounty en klekkelig bot på i underkant av 5 millioner kroner. At boten var så lav har sin årsak i at GDPR ennå ikke var innført i UK på det tidspunktet innsamlingen skjedde, boten var likevel like oppunder den øvre grensen for bøter etter det gamle personvernregelverket i Storbritannia. Dersom dette hadde skjedd etter innføringen av GDPR kunne boten ha blitt opp mot 4 % av selskapets omsetning eller 20 millioner euro, avhengig av hva som svir mest.Det interessante med saken er blant annet at da det britiske datatilsynet skulle fastsette boten satte de den så høyt fordi det mente at det var spesielt kritikkverdig å samle inn personopplysninger fra mennesker som er i en sårbar situasjon (og som man i tillegg har forledet). Datatilsynet uttalte at ikke bare gjaldt dette over 14 millioner mødre og barn, men «the personal information shared was not only of potentially vulnerable, new mothers or mothers-to-be but also of very young children, including the birth date and sex of a child.”GDPR sier uttrykkelig at sårbare personer og barn fortjener et særlig personvern, og krever at man tar aktivt stilling til risikoen for personvernet ved enhver behandling før man begynner å behandle personopplysninger. Det er nærliggende å tro at Datatilsynet i Norge vil legge vekt på de samme hensyn i utmåling av erstatning etter GDPR.Artikkelen er skrevet av Advokat Stine Helen Pettersen og advokatfullmektig Grete Eline Brunsvig i Advokat Stine Helen Pettersen og advokatfullmektig Grete Eline Brunsvig Bing Hodneland advokatselskap DA.
