Billeder og GDPR
Idag bruger virksomheder billeder til alt fra interne dokumentation til markedsføring. Det er derfor afgørende for virksomheder at forstå, hvorvidt billeder betragtes som personlige oplysninger og – i så fald – hvilken betydning det har i forhold til databeskyttelse. Forordningen GDPR sætter nemlig strenge krav til beskyttelse af personoplysninger, og ethvert brud på disse regler, kan medføre alvorlige konsekvenser for en virksomhed.
Denne guide handler om, hvorvidt billeder betragtes som følsomt personmateriale, og hvordan man som virksomhed skal håndtere billeder for at være compliant.
Er billeder personlige oplysninger?
Svaret er ja – billeder af levende personer, der kan bruges til at identificere dem, er personoplysninger ifølge GDPR.
Hvornår er billeder personlige oplysninger?
I henhold til GDPR omfatter personoplysninger alle oplysninger, der kan bruges til at identificere en levende person. Oplysninger, der, i sig selv eller sammen med andre oplysninger, kan føre til identifikation af en person, betragtes som personoplysninger.
Mange typer af billeder og videoer kan helt sikkert falde ind under denne kategori. For eksempel:
- Medarbejderfotos og ID-kort, især hvis fotografierne afslører personens nationale oprindelse, race, handicap osv.
- Videoovervågnings-materiale af personer, hvor de kan identificeres. Udførelse af denne type overvågning kan kræve en konsekvensanalyse (DPIA).
- Videoer med høj opløsning af folks ansigter, der kan bruges til ansigtsgenkendelse, regnes som biometriske data. Disse er særlige kategorier eller følsomme data i henhold til GDPR.
- Et foto af en person sammen med metadata. Dette kan vise en persons placering, GPS-position og meget mere. De kan bruges til at opspore en person eller til at inkriminere vedkommende i retten.
- Billeder af foto-ID’er kombinerer et ansigtsbillede med følsomme ID-numre + og andre personlige data. Det kan skade nogen, hvis det falder i de forkerte hænder.
Hvornår skal I sikre retten til at bruge fotos?
Fotografier, der er taget til rent personligt brug, er undtaget fra GDPR. Men virksomheder og organisationer, der bruger en persons foto, skal sikre retten til at bruge fotos, hver gang billederne bruges i en sammenhæng, hvor de kan identificere personer, eller når de bruges kommercielt. Retten til at bruge et foto handler om både juridiske og etiske aspekter, og det indebærer at opnå samtykke fra de personer, der er med på billedet.
Ved at være proaktiv og sikre disse rettigheder på forhånd undgår I potentielle juridiske problemer og viser respekt for dem, der optræder på billederne. En god idé kan være at udvikle en standard proces for at indhente samtykke, som kan bruges konsekvent ved alle relevante aktiviteter og situationer, hvor billeder indsamles og anvendes.
Sådan henter I samtykke til at bruge fotos
Når I indsamler billeder, er det afgørende at få eksplicit samtykke, især når billederne kan identificere personer. Ifølge GDPR skal samtykke være frivilligt, specifikt, informeret og utvetydigt. Det betyder, at personen klart skal forstå, hvad deres billede bruges til, og have mulighed for at trække samtykket tilbage.
En god praksis er at udarbejde en skriftlig samtykkeerklæring, som beskriver formålet med billedet, hvor længe det vil blive brugt, og hvordan det vil blive opbevaret. En sådan erklæring kan udleveres i forbindelse med events, fotoshoots eller i forbindelse med medarbejderaftaler. Det kan også være nyttigt at opbevare samtykker digitalt for nem adgang og administration.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Brug af billeder af medarbejdere
Brugen af medarbejderes billeder på virksomhedens hjemmeside eller i markedsføringsmateriale er almindelig praksis. Her er det dog vigtigt at være opmærksom på medarbejdernes rettigheder, herunder retten til anonymitet. Selvom mange medarbejdere er villige til at få taget billeder, er det stadig nødvendigt at få deres samtykke, især hvis billederne bruges offentligt.
Når en medarbejder opsiger sin stilling, bør virksomheden også vurdere, om billederne stadig er relevante og nødvendige at beholde. Det kan skabe en bedre kultur, hvis medarbejderne ved, at deres samtykke ikke er permanent og kan trækkes tilbage.
Brug af kundefotos
Brug af kundefotos kan være en effektiv måde at skabe troværdighed og engagement, men det kræver ekstra omhu. Kunder kan opleve det grænseoverskridende, hvis deres billeder bruges uden tilladelse, især i reklame- og markedsføringskontekster. Det bedste råd er altid at spørge om skriftligt samtykke fra kunderne og præcisere, hvordan og hvor billederne vil blive brugt.
For at lette processen kan I udarbejde en standard samtykkeerklæring, som I kan præsentere ved deres kundeoprettelse i CRM, når I indsamler billeder af kunder eller til events eller lignende situationer, hvor I tager billeder af kunder. I bør også informere kunderne om, at de til enhver tid kan bede om at få fjernet deres billeder.
Brug af billeder af børn
Billeder af børn kræver ekstra omhyggelighed og beskyttelse, da børn ifølge GDPR anses for at have behov for særlig beskyttelse af deres data. Det betyder, at der altid skal indhentes samtykke fra forældrene eller værgerne, før billeder af børn anvendes, især når de kan identificeres. Derudover er det vigtigt at overveje, hvorvidt det er nødvendigt og passende at offentliggøre billeder af børn i offentlige eller kommercielle sammenhænge.
Ved offentliggørelse af billeder af børn, for eksempel i skolereportager eller arrangementer, kan det være en god idé at anvende billeder, hvor børnene ikke er genkendelige – enten ved at tage billeder bagfra eller ved at sløre ansigter. Dette sikrer en vis anonymitet og beskytter børnene yderligere.
Disse retningslinjer kan hjælpe jeres virksomhed med at overholde lovgivningen og skabe en tryg og etisk ansvarlig brug af billeder.
Billeder og retten til at blive glemt
I henhold til GDPR kan EU-borgere i mange tilfælde bede jer om at slette deres personlige data, herunder billeder. For eksempel:
- Hvis de data, I har indsamlet om dem, ikke længere er relevante for årsagen til, at de blev indsamlet, og hvis de indeholder følsomme personoplysninger, eller hvis sådanne oplysninger er forældede
- Hvis personen trækker sit samtykke til, at I må bruge vedkommendes oplysninger tilbage (og I ikke har noget andet retsgrundlag for at indsamle dem)
- Hvis personen gør indsigelse mod, at I indsamler oplysninger til direkte markedsføringsformål
- Hvis den pågældendes oplysninger er blevet behandlet ulovligt eller betragtes som følsomme oplysninger
- Hvis det er lovpligtigt at slette oplysningerne
- Hvis dataene tilhører et barn
I alle disse tilfælde skal I slette personens data og billeder så hurtigt som muligt. Svar personen med en bekræftelse på, at I har slettet deres billeder og andre personlige oplysninger inden for 30 dage.
Folk kan også bede om oplysninger om de data, I gemmer, herunder billeder. De kan bede jer om at videregive deres data til tredjeparter, begrænse jeres brug af dem og meget mere. Læs mere om datarettigheder her.
Vil du vide mere om personoplysninger?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Sådan holder I styr på jeres billeder
Sådan finder I jeres billeder med følsomme personoplysninger
Man kan ikke søge efter GDPR-udtryk i et billede på samme måde som man kan med en tekst. Det er derfor kompliceret at finde følsomme oplysninger i de billeder, I har. Når dette er sagt, kan man anvende et Data Discovery-værktøj med en integreret billed-scanner. Således kan man undgå at kigge alle billeder igennem manuelt.
I Safe Online har vi udviklet Data Discovery-værktøjet DataMapper, som netop kan identificere følsomme udtryk afbilledet på billeder. Dette kunne være f.eks på billeder af:
- Pas
- Kørekort
- Sygesikringsbevis
- Skatte-informationer
- Patient-informationer
- Og meget mere…
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR