Skip to main content

Billeder og GDPR

Billeder kan indeholde personlige oplysninger, såsom ansigtsudtryk, tøj og baggrund, der kan identificere en person. Derfor er de underlagt EU’s Generelle Databeskyttelsesforordning (GDPR), der beskytter borgernes privatliv. Det betyder blandt andet, at personer skal give samtykke til, at deres billeder bliver optaget og brugt. Samtykket skal være informeret og frivilligt, og personen skal vide, hvordan billedet vil blive brugt og hvem der vil have adgang til det.

Der er en del GDPR-regler forbundet med at håndtere billeder. Det er vigtigt for virksomheder og organisationer at forstå deres ansvar for at beskytte personers privatliv og personoplysninger, når de håndterer billeder.

Er billeder persondata?

Du har måske undret dig over, om billeder er personoplysninger i henhold til GDPR. Det korte svar er ja. Fotografier af levende personer, der kan bruges til at identificere dem, er personoplysninger/PII.

Hvornår kan billeder bruges til at identificere?

I henhold til GDPR omfatter personoplysninger alle oplysninger, der kan bruges til at identificere en levende person. Oplysninger, der, i sig selv eller sammen med andre oplysninger, kan føre til identifikation af en person, betragtes som personoplysninger.

Mange typer af billeder og videoer kan helt sikkert falde ind under denne kategori. For eksempel:

  • Medarbejderfotos og ID-kort, især hvis fotografierne afslører personens nationale oprindelse, race, handicap osv.
  • Videoovervågnings-materiale af personer, hvor de kan identificeres. Udførelse af denne type overvågning kan kræve en konsekvensanalyse (DPIA).
  • Videoer med høj opløsning af folks ansigter, der kan bruges til ansigtsgenkendelse, regnes som biometriske data. Disse er særlige kategorier eller følsomme data i henhold til GDPR.
  • Et foto af en person sammen med metadata. Dette kan vise en persons placering, GPS-position og meget mere. De kan bruges til at opspore en person eller til at inkriminere vedkommende i retten.
  • Billeder af foto-ID’er kombinerer et ansigtsbillede med følsomme ID-numre + og andre personlige data. Det kan skade nogen, hvis det falder i de forkerte hænder.
Are photos personal data?

Hvornår skal I sikre retten til at bruge fotos?

Fotografier, der er taget til rent personligt brug, er undtaget fra GDPR. Men virksomheder og organisationer, der bruger en persons foto, skal have et af følgende retsgrundlag for at gøre det:

  • Samtykke
  • Kontrakt
  • Juridisk forpligtelse
  • Vigtige interesser
  • Offentlig opgave
  • Legitim interesse

Som hovedregel bør man indhente samtykke, før du bruger et billede af en person til kommercielle formål, hvis følgende forhold gør sig gældende:

  • Personen på billedet er genkendelig
  • Personen er billedets hovedmotiv

Brug tilmeldings-former, hvor afkrydsningskasserne som udgangspunkt er tomme til at få samtykke. Alternativt kan en person sige “ja” til en klar mundtlig anmodning om samtykke. Uanset hvordan I får samtykke til at bruge et foto, skal I gemme beviser for det. Selv hvis en person giver sit samtykke, har vedkommende ret til at trække det tilbage når som helst.

Brug af billeder af medarbejdere

I gemmer sikkert billeder af jeres medarbejdere, som I bruger internt. I kan også bruge billeder af jeres medarbejdere på jeres websted og på de sociale medier. Måske bruger I billederne til at reklamere for særlige begivenheder og til at gøre jeres virksomhed mere personlig over for kunderne.

Medarbejderfotos er personoplysninger i henhold til mange globale love om beskyttelse af personlige oplysninger, herunder GDPR. Derfor bør I gøre følgende, når I bruger dem:

  • Giv jeres medarbejdere en ordentlig besked om, hvad hensigten er med de billeder, der er taget af dem
  • Oprethold rimelige sikkerhedsforanstaltninger for at beskytte billederne
  • Opdater registreringer hos databeskyttelsesmyndighederne, så de afspejler brugen af billedet
  • Sikre passende beskyttelse og international overførsel af billedet
  • Hvis et medarbejderfoto kan betragtes som følsomme personoplysninger, fordi det f.eks. afslører personens nationale oprindelse, race og handicap, bør det beskyttes bedre, og I bør få specifikt samtykke til at bruge det

 

Vil I have GDPR-ryddet op i jeres mails?

Med et GDPR Risiko-scan af DataMapper kan I få scannet alle Outlook-konti i jeres virksomhed. I vil få nøglestatistik om alle (nuværende og tidligere) medarbejderes mails – herunder oplysninger om hvilke mails, medarbejdere og processer, der genererer GDPR-risiko.

Brug af kundefotos

Hvis I tager billeder af kunder, der bruger jeres produkter eller tjenester, skal I indhente samtykke, før I bruger billederne på jeres websted eller på jeres sociale konti. Det skyldes, at alt, hvad I deler på sociale medier med jeres virksomhedskonto, tæller som kommerciel brug.

Hvis I driver en tandlæge- eller frisør-virksomhed, tager I måske billeder af jeres kunder? Hvis ja, bruger I kun billederne internt, eller deler I dem på de sociale medier for at promovere jeres virksomhed? Hvis det er tilfældet, skal I sørge for, at jeres samtykkeerklæringer angiver de formål, som I vil bruge billederne til. I bør gøre det nemt for folk at fravælge, at I ikke bruger deres billede offentligt.

Brug af billeder af børn

Man bør være særligt opmærksom på billeder af mindreårige og børn, da GDPR-kravene for brug af billeder af børn er strengere.

Naturligvis er billeder af børn, som forældre selv tager til personligt brug, undtaget fra persondataforordningen. Alle andre skal dog være yderst forsigtige med at tage, indsamle, opbevare og offentliggøre billeder af børn.

For de fleste organisationer vil det være afgørende at få et klart og utvetydigt samtykke fra forældrene, før man offentliggør billeder af børn til et hvilket som helst formål. Dette omfatter billeder af grupper eller klassebilleder af børn.

Undgå at offentliggøre børnenes navne eller andre personlige oplysninger sammen med deres billeder. Ud over at følge GDPR-kravene skal I bruge almen sund fornuft til at overveje, om måden I gør brug af et barns foto kan bringe dem i fare.

Hvis I påbegynder en ny databehandlingsaktivitet, der omfatter billeder af børn, bør I udarbejde en konsekvensanalyse (DPIA) til at beskytte data. DPIA’en skal vise, at I har gennemgået de potentielle risici, der er forbundet med brugen af billeder af mindreårige, og at I tager forholdsregler for at beskytte dem.

photos of children

Billeder og retten til at blive glemt

I henhold til GDPR kan EU-borgere i mange tilfælde bede jer om at slette deres personlige data, herunder billeder. For eksempel:

  • Hvis de data, I har indsamlet om dem, ikke længere er relevante for årsagen til, at de blev indsamlet, og hvis de indeholder følsomme personoplysninger, eller hvis sådanne oplysninger er forældede
  • Hvis personen trækker sit samtykke til, at I må bruge vedkommendes oplysninger tilbage (og I ikke har noget andet retsgrundlag for at indsamle dem)
  • Hvis personen gør indsigelse mod, at I indsamler oplysninger til direkte markedsføringsformål
  • Hvis den pågældendes oplysninger er blevet behandlet ulovligt eller betragtes som følsomme oplysninger
  • Hvis det er lovpligtigt at slette oplysningerne
  • Hvis dataene tilhører et barn

I alle disse tilfælde skal I slette personens data og billeder så hurtigt som muligt. Svar personen med en bekræftelse på, at I har slettet deres billeder og andre personlige oplysninger inden for 30 dage.

Folk kan også bede om oplysninger om de data, I gemmer, herunder billeder. De kan bede jer om at videregive deres data til tredjeparter, begrænse jeres brug af dem og meget mere. Læs mere om datarettigheder her →

Vil du vide mere om personoplysninger?

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Foto-ID og skærmbilleder af foto-ID'er

I løbet af årene har jeres virksomhed muligvis indsamlet mange billedlegitimationer og skærmbilleder af officielle billedlegitimationer. Jeres nuværende, tidligere og potentielle medarbejdere vil alle have delt kopier af deres pas eller kørekort med jer på et tidspunkt. Jeres kunder og andre kan også dele deres billedlegitimation med jer for at bekræfte deres identitet af sikkerhedshensyn.

Et billedlegitimationskort indeholder en kombination af personlige oplysninger, som kan være særligt skadelige for nogen, hvis den forkerte person får fat i det. Sørg for, at I ved, hvor billedlegitimationerne befinder sig, og hvem der har adgang til dem. I skal ikke beholde dem for evigt. Slet dem, I ikke længere har brug for.

Photo IDs are personal data

Sådan holder I styr på jeres billeder

Vi foreslår, at I gemmer genkendelige billeder af personer, som I planlægger at bruge til markedsføring, med komplette tags, der identificerer dem, sammen med deres samtykkeformularer. Lav klare politikker og procedurer på plads for at beskytte disse billeder og minimere risikoen for klager/datafejl.

I bør herudover lave regelmæssige opgørelse over jeres billedmateriale. Det vil hjælpe jer med at minimere, overvåge og beskytte personoplysninger. Det vil også gøre det nemt at udarbejde konsekvensanalyser. Derudover kan du hurtigt finde frem til specifikke personers data, så du kan besvare dataanmodninger (DSAR) så som retten til at blive glemt.

Sådan finder I jeres billeder med følsomme personoplysninger

Man kan ikke søge efter GDPR-udtryk i et billede på samme måde som man kan med en tekst. Det er derfor kompliceret at opdage følsomme oplysninger i billeder. Når dette er sagt, så kan man anvende et Data Discovery-værktøj med en integreret billed-scanner. Dette gør, at man ikke skal kigge alle billeder igennem manuelt.

I Safe Online har vi udviklet Data Discovery-værktøjet DataMapper, som netop kan identificere følsomme udtryk afbilledet på billeder. Dette kunne være f.eks på billeder af:

  • Pas
  • Kørekort
  • Sygesikringsbevis
  • Skatteinformationer
  • Lægejournaler
  • Tandlæge-informationer

Sebastian Allerelli

Founder & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →