GDPR för frilansjournalister

Publicerad 25 maj 2018

Den 25 maj trädde den nya dataskyddsförordningen GDPR i kraft. GDPR påverkar dig som frilansjournalist på två sätt: dels som företagare och dels som journalist. Här går vi igenom de fem viktigaste punkterna för dig.

Journalistundantaget

En viktig sak att komma ihåg innan du blir allt för nervös över GDPR är att det i den nya dataskyddslagen finns det en uttrycklig bestämmelse om att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför GDPR och den nya dataskyddslagen. Det innebär att grundlagsskyddade medier kommer att kunna använda personuppgifter på samma sätt som i dag.

Det betyder att det till exempel inte behövs samtycke för att ta och lagra bilder. Det betyder också att personuppgifter kan publiceras på samma sätt som i dag. Observera! Dock är det viktigt att veta att om du exempelvis skickar ut nyhetsbrev kan det räknas som marknadsföring i många fall, snarare än journalistisk verksamhet.

Medier som inte har grundlagsskydd

Även den som inte har grundlagsskydd för sin journalistiska verksamhet kan undgå kraven enligt de nya dataskyddsreglerna. Exempel på sådan journalistisk verksamhet är bloggar utan utgivningsbevis eller publiceringar i sociala medier. Att sådan verksamhet inte behöver följa kraven beror på ett undantag i den nya dataskyddslagen som gäller vid "behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande." (Motsvarande bestämmelse finns redan i dag i PUL.)

Bokföringen

Förutom att du är journalist är du också företagare och då handlar det framförallt om de delar som inte går under din journalistiska verksamhet, som exempelvis bokföringen och eventuella kundregister. Du är enligt bokföringslagen skyldig att spara din bokföring i sju år och då är bokföringslagen ett giltigt skäl att behandla personuppgifter. Anlitar du en redovisningsfirma som tar del av personuppgifter som finns i ditt företag bör du ha ett så kallat personuppgiftbiträdesavtal.

Spara mejl

När det gäller GDPR är det alltid ändamålet som styr. Sparar du mejl av någon anledning måste du kunna ha ett giltigt skäl för det. Det kan handla om att du behöver uppgifterna för att hålla avtal. Rättsliga förpliktelser är också en sådan sak, exempelvis som ovan nämnt bokföring. Är det frågan om ganska harmlösa personuppgifter, ju lägre blir kravet på berättigat ändamål.

Molntjänster

När du behandlar ditt källmaterial bör du som journalist alltid vara försiktig med var du sparar ditt material och det kan därför alltid vara värt använda krypterade lösningar. För övriga delar i ditt företag behöver du i praktiken ett personuppgiftsbiträdesavtal med olika kunder som du delar personuppgifter med. När det gäller molntjänster som finns i USA är det inte helt klarlagt hur det rättsliga läget ser ut, men det kan komma att räcka med att det amerikanska företaget lovar att skydda personuppgifter och att de även står under kontroll av amerikanska myndigheter.

Kom ihåg: att lagra är att behandla uppgifter, men glöm inte bort det journalistiska undantaget! Sedan är det rättsliga läget också ganska oklart på många håll och många företag är inte med en implementering av GDPR. Ett råd är därför att se över dina lagrade personuppgifter, men drabbas inte av panik om allt inte verkar vara i sin ordning, det rättsliga läget kommer förmodligen att bli tydligare med tiden.

Några viktiga begrepp

Personuppgift

Enligt förordningen är en personuppgift följande:

”Varje upplysning som avser en identifierad eller identifierbar fysisk person varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.” (Artikel 4(1))

Vad betyder då det i praktiken? Helt enkelt uppgifter som gör att man kan identifiera någon direkt eller indirekt. Några exempel: namn, foton, ljudinspelningar, rörlig bild, personnummer, bilnummer, IP-adresser, adress med mera. 

Personuppgiftsansvarig

Att vara personuppgiftsansvarig innebär att vara den som bestämmer för vilka ändamål personuppgifter ska behandlas och hur behandlingen ska gå till. Som egenföretagare är det du som är det i ditt företag. Kom ihåg att du kan överlåta den faktiska behandlingen av personuppgifter till någon annan, men aldrig det formella personuppgiftsansvaret.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. För en frilansjournalist kan personuppgiftsbiträde till exempel vara en redovisningskonsult, ett tryckeri som behandlar adresser till den tidning du är redaktör för och den molntjänst där du förvarar ditt bildarkiv. 

Nyttiga länkar

Datainspektionens samlingssida om GDPR för företagare  

GDPR-guide från Verksamt

Journalistförbundets övergripande guide

Mer material kommer att tillkomma på den här sidan, bland annat den webbsända kurs som anordnades i april.

Senast ändrad 30 maj 2018