Skip to main content

Er billeder personlige data?

Du har måske undret dig over, om billeder er personoplysninger i henhold til GDPR. Det korte svar er ja. Fotografier af levende personer, der kan bruges til at identificere dem, er personoplysninger/PII.

Lad os se på forskellige typer billeder, der tæller som PII, og hvordan de skal håndteres.

Hvornår kan billeder bruges til at identificere?

I henhold til GDPR omfatter personoplysninger alle oplysninger, der kan bruges til at identificere en levende person. Oplysninger, der, i sig selv eller sammen med andre oplysninger, kan føre til identifikation af en person, betragtes som personoplysninger.

Mange typer af billeder og videoer kan helt sikkert falde ind under denne kategori. For eksempel:

  • Medarbejderfotos og ID-kort, især hvis fotografierne afslører personens nationale oprindelse, race, handicap osv.
  • Videoovervågnings-materiale af personer, hvor de kan identificeres. Udførelse af denne type overvågning kan kræve en konsekvensanalyse (DPIA).
  • Videoer med høj opløsning af folks ansigter, der kan bruges til ansigtsgenkendelse, regnes som biometriske data. Disse er særlige kategorier eller følsomme data i henhold til GDPR.
  • Et foto af en person sammen med metadata. Dette kan vise en persons placering, GPS-position og meget mere. De kan bruges til at opspore en person eller til at inkriminere vedkommende i retten.
  • Billeder af foto-ID’er kombinerer et ansigtsbillede med følsomme ID-numre + og andre personlige data. Det kan skade nogen, hvis det falder i de forkerte hænder.
Are photos personal data?

Hvornår skal I sikre retten til at bruge fotos?

Fotografier, der er taget til rent personligt brug, er undtaget fra GDPR. Men virksomheder og organisationer, der bruger en persons foto, skal have et af følgende retsgrundlag for at gøre det:

  • Samtykke
  • Kontrakt
  • Juridisk forpligtelse
  • Vigtige interesser
  • Offentlig opgave
  • Legitim interesse

Som hovedregel bør man indhente samtykke, før du bruger et billede af en person til kommercielle formål, hvis følgende forhold gør sig gældende:

  • Personen på billedet er genkendelig
  • Personen er billedets hovedmotiv

Brug tilmeldings-former, hvor afkrydsningskasserne som udgangspunkt er tomme til at få samtykke. Alternativt kan en person sige “ja” til en klar mundtlig anmodning om samtykke. Uanset hvordan I får samtykke til at bruge et foto, skal I gemme beviser for det. Selv hvis en person giver sit samtykke, har vedkommende ret til at trække det tilbage når som helst.

Brug af medarbejderfotos

I gemmer sikkert billeder af jeres medarbejdere, som I bruger internt. I kan også bruge billeder af jeres medarbejdere på jeres websted og på de sociale medier. Måske bruger I billederne til at reklamere for særlige begivenheder og til at gøre jeres virksomhed mere personlig over for kunderne.

Medarbejderfotos er personoplysninger i henhold til mange globale love om beskyttelse af personlige oplysninger, herunder GDPR. Derfor bør I gøre følgende, når I bruger dem:

  • Giv jeres medarbejdere en ordentlig besked om, hvad hensigten er med de billeder, der er taget af dem
  • Oprethold rimelige sikkerhedsforanstaltninger for at beskytte billederne
  • Opdater registreringer hos databeskyttelsesmyndighederne, så de afspejler brugen af billedet
  • Sikre passende beskyttelse og international overførsel af billedet
  • Hvis et medarbejderfoto kan betragtes som følsomme personoplysninger, fordi det f.eks. afslører personens nationale oprindelse, race og handicap, bør det beskyttes bedre, og I bør få specifikt samtykke til at bruge det
Photos of employees

Brug af kundefotos

Hvis I tager billeder af kunder, der bruger jeres produkter eller tjenester, skal I indhente samtykke, før I bruger billederne på jeres websted eller på jeres sociale konti. Det skyldes, at alt, hvad I deler på sociale medier med jeres virksomhedskonto, tæller som kommerciel brug.

Hvis I driver en tandlæge- eller frisør-virksomhed, tager I måske billeder af jeres kunder? Hvis ja, bruger I kun billederne internt, eller deler I dem på de sociale medier for at promovere jeres virksomhed? Hvis det er tilfældet, skal I sørge for, at jeres samtykkeerklæringer angiver de formål, som I vil bruge billederne til. I bør gøre det nemt for folk at fravælge, at I ikke bruger deres billede offentligt.

Brug af billeder af børn

Man bør være særligt opmærksom på billeder af mindreårige og børn, da GDPR-kravene for brug af billeder af børn er strengere.

Naturligvis er billeder af børn, som forældre selv tager til personligt brug, undtaget fra persondataforordningen. Alle andre skal dog være yderst forsigtige med at tage, indsamle, opbevare og offentliggøre billeder af børn.

For de fleste organisationer vil det være afgørende at få et klart og utvetydigt samtykke fra forældrene, før man offentliggør billeder af børn til et hvilket som helst formål. Dette omfatter billeder af grupper eller klassebilleder af børn.

Undgå at offentliggøre børnenes navne eller andre personlige oplysninger sammen med deres billeder. Ud over at følge GDPR-kravene skal I bruge almen sund fornuft til at overveje, om måden I gør brug af et barns foto kan bringe dem i fare.

Hvis I påbegynder en ny databehandlingsaktivitet, der omfatter billeder af børn, bør I udarbejde en konsekvensanalyse (DPIA) til at beskytte data. DPIA’en skal vise, at I har gennemgået de potentielle risici, der er forbundet med brugen af billeder af mindreårige, og at I tager forholdsregler for at beskytte dem.

photos of children

Billeder og retten til at blive glemt

I henhold til GDPR kan EU-borgere i mange tilfælde bede jer om at slette deres personlige data, herunder billeder. For eksempel:

  • Hvis de data, I har indsamlet om dem, ikke længere er relevante for årsagen til, at de blev indsamlet, og hvis de indeholder følsomme personoplysninger, eller hvis sådanne oplysninger er forældede
  • Hvis personen trækker sit samtykke til, at I må bruge vedkommendes oplysninger tilbage (og I ikke har noget andet retsgrundlag for at indsamle dem)
  • Hvis personen gør indsigelse mod, at I indsamler oplysninger til direkte markedsføringsformål
  • Hvis den pågældendes oplysninger er blevet behandlet ulovligt eller betragtes som følsomme oplysninger
  • Hvis det er lovpligtigt at slette oplysningerne
  • Hvis dataene tilhører et barn

I alle disse tilfælde skal I slette personens data og billeder så hurtigt som muligt. Svar personen med en bekræftelse på, at I har slettet deres billeder og andre personlige oplysninger inden for 30 dage.

Folk kan også bede om oplysninger om de data, I gemmer, herunder billeder. De kan bede jer om at videregive deres data til tredjeparter, begrænse jeres brug af dem og meget mere. Læs mere om datarettigheder her →

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Foto-ID og skærmbilleder af foto-ID'er

    I løbet af årene har jeres virksomhed muligvis indsamlet mange billedlegitimationer og skærmbilleder af officielle billedlegitimationer. Jeres nuværende, tidligere og potentielle medarbejdere vil alle have delt kopier af deres pas eller kørekort med jer på et tidspunkt. Jeres kunder og andre kan også dele deres billedlegitimation med jer for at bekræfte deres identitet af sikkerhedshensyn.

    Et billedlegitimationskort indeholder en kombination af personlige oplysninger, som kan være særligt skadelige for nogen, hvis den forkerte person får fat i det. Sørg for, at I ved, hvor billedlegitimationerne befinder sig, og hvem der har adgang til dem. I skal ikke beholde dem for evigt. Slet dem, I ikke længere har brug for.

    Photo IDs are personal data

    Hold styr på jeres billeder

    Vi foreslår, at I gemmer genkendelige billeder af personer, som I planlægger at bruge til markedsføring, med komplette tags, der identificerer dem, sammen med deres samtykkeformularer. Lav klare politikker og procedurer på plads for at beskytte disse billeder og minimere risikoen for klager/datafejl.

    I bør herudover lave regelmæssige opgørelse over jeres billedmateriale. Det vil hjælpe jer med at minimere, overvåge og beskytte personoplysninger. Det vil også gøre det nemt at udarbejde konsekvensanalyser. Derudover kan du hurtigt finde frem til specifikke personers data, så du kan besvare dataanmodninger (DSAR) så som retten til at blive glemt.

    Sådan finder I jeres billeder med følsomme personoplysninger

    Da billeder og deres motiver er ustrukturerede data, er det ikke let at opdage personligt identificerbare oplysninger i dem, medmindre man går dem igennem manuelt eller har et data discovery-værktøj. Med vores værktøj DataMapper kan I identificere følsomme tekster i billeder, eksempelvis i:

    • Pas
    • Kørekort
    • Sygesikringsbevis
    • Skatteinformationer
    • Lægejournaler
    • Tandlæge-informationer

    DataMapper kan finde enten billeder i filer eller billeder, der er indlejret i e-mail-tekster. De billedformater som understøttes er jpg, jpeg, png og heic. De billedstørrelser som DataMapper understøtter er telefonbilleder af enhver størrelse (metadataene registreres), samt skærmbilleder og andre billeder fra 150kb til 6-7mb. DataMapper scanner ikke billeder fra grafiske kilder (såsom Adobe), DSLR-kameraer osv. DataMapper kan som et data discovery-værktøj hjælpe jer med at lave en data-opgørelse og holde styr på jeres billedfiler.

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR