Er billeder personlige oplysninger?

Billeder kan indeholde personlige oplysninger, såsom ansigtsudtryk, tøj og baggrund, der kan identificere en person. Derfor er de underlagt EU’s Generelle Databeskyttelsesforordning (GDPR), der beskytter borgernes privatliv. Det betyder blandt andet, at personer skal give samtykke til, at deres billeder bliver optaget og brugt. Samtykket skal være informeret og frivilligt, og personen skal vide, hvordan billedet vil blive brugt og hvem der vil have adgang til det.

Der er en del GDPR-regler forbundet med at håndtere billeder. Det er vigtigt for virksomheder og organisationer at forstå deres ansvar for at beskytte personers privatliv og personoplysninger, når de håndterer billeder.

Du har måske undret dig over, om billeder er personoplysninger i henhold til GDPR. Det korte svar er ja. Fotografier af levende personer, der kan bruges til at identificere dem, er personoplysninger/PII.

I henhold til GDPR omfatter personoplysninger alle oplysninger, der kan bruges til at identificere en levende person. Oplysninger, der, i sig selv eller sammen med andre oplysninger, kan føre til identifikation af en person, betragtes som personoplysninger.

Mange typer af billeder og videoer kan helt sikkert falde ind under denne kategori. For eksempel:

• Medarbejderfotos og ID-kort, især hvis fotografierne afslører personens nationale oprindelse, race, handicap osv.
• Videoovervågnings-materiale af personer, hvor de kan identificeres. Udførelse af denne type overvågning kan kræve en konsekvensanalyse (DPIA).
• Videoer med høj opløsning af folks ansigter, der kan bruges til ansigtsgenkendelse, regnes som biometriske data. Disse er særlige kategorier eller følsomme data i henhold til GDPR.
• Et foto af en person sammen med metadata. Dette kan vise en persons placering, GPS-position og meget mere. De kan bruges til at opspore en person eller til at inkriminere vedkommende i retten.
• Billeder af foto-ID’er kombinerer et ansigtsbillede med følsomme ID-numre + og andre personlige data. Det kan skade nogen, hvis det falder i de forkerte hænder.

Fotografier, der er taget til rent personligt brug, er undtaget fra GDPR. Men virksomheder og organisationer, der bruger en persons foto, skal have et af følgende retsgrundlag for at gøre det:

• Samtykke
• Kontrakt
• Juridisk forpligtelse
• Vigtige interesser
• Offentlig opgave
• Legitim interesse

Som hovedregel bør man indhente samtykke, før du bruger et billede af en person til kommercielle formål, hvis følgende forhold gør sig gældende:

• Personen på billedet er genkendelig
• Personen er billedets hovedmotiv

Brug tilmeldings-former, hvor afkrydsningskasserne som udgangspunkt er tomme til at få samtykke. Alternativt kan en person sige “ja” til en klar mundtlig anmodning om samtykke. Uanset hvordan I får samtykke til at bruge et foto, skal I gemme beviser for det. Selv hvis en person giver sit samtykke, har vedkommende ret til at trække det tilbage når som helst.

Hvis I tager billeder af kunder, der bruger jeres produkter eller tjenester, skal I indhente samtykke, før I bruger billederne på jeres websted eller på jeres sociale konti. Det skyldes, at alt, hvad I deler på sociale medier med jeres virksomhedskonto, tæller som kommerciel brug.

Hvis I driver en tandlæge- eller frisør-virksomhed, tager I måske billeder af jeres kunder? Hvis ja, bruger I kun billederne internt, eller deler I dem på de sociale medier for at promovere jeres virksomhed? Hvis det er tilfældet, skal I sørge for, at jeres samtykkeerklæringer angiver de formål, som I vil bruge billederne til. I bør gøre det nemt for folk at fravælge, at I ikke bruger deres billede offentligt.

Man bør være særligt opmærksom på billeder af mindreårige og børn, da GDPR-kravene for brug af billeder af børn er strengere.

Naturligvis er billeder af børn, som forældre selv tager til personligt brug, undtaget fra persondataforordningen. Alle andre skal dog være yderst forsigtige med at tage, indsamle, opbevare og offentliggøre billeder af børn.

For de fleste organisationer vil det være afgørende at få et klart og utvetydigt samtykke fra forældrene, før man offentliggør billeder af børn til et hvilket som helst formål. Dette omfatter billeder af grupper eller klassebilleder af børn.

Undgå at offentliggøre børnenes navne eller andre personlige oplysninger sammen med deres billeder. Ud over at følge GDPR-kravene skal I bruge almen sund fornuft til at overveje, om måden I gør brug af et barns foto kan bringe dem i fare.

Hvis I påbegynder en ny databehandlingsaktivitet, der omfatter billeder af børn, bør I udarbejde en konsekvensanalyse (DPIA) til at beskytte data. DPIA’en skal vise, at I har gennemgået de potentielle risici, der er forbundet med brugen af billeder af mindreårige, og at I tager forholdsregler for at beskytte dem.

I henhold til GDPR kan EU-borgere i mange tilfælde bede jer om at slette deres personlige data, herunder billeder. For eksempel:

• Hvis de data, I har indsamlet om dem, ikke længere er relevante for årsagen til, at de blev indsamlet, og hvis de indeholder følsomme personoplysninger, eller hvis sådanne oplysninger er forældede
• Hvis personen trækker sit samtykke til, at I må bruge vedkommendes oplysninger tilbage (og I ikke har noget andet retsgrundlag for at indsamle dem)
• Hvis personen gør indsigelse mod, at I indsamler oplysninger til direkte markedsføringsformål
• Hvis den pågældendes oplysninger er blevet behandlet ulovligt eller betragtes som følsomme oplysninger
• Hvis det er lovpligtigt at slette oplysningerne
• Hvis dataene tilhører et barn

I alle disse tilfælde skal I slette personens data og billeder så hurtigt som muligt. Svar personen med en bekræftelse på, at I har slettet deres billeder og andre personlige oplysninger inden for 30 dage.

Folk kan også bede om oplysninger om de data, I gemmer, herunder billeder. De kan bede jer om at videregive deres data til tredjeparter, begrænse jeres brug af dem og meget mere. Læs mere om datarettigheder her →

I løbet af årene har jeres virksomhed muligvis indsamlet mange billedlegitimationer og skærmbilleder af officielle billedlegitimationer. Jeres nuværende, tidligere og potentielle medarbejdere vil alle have delt kopier af deres pas eller kørekort med jer på et tidspunkt. Jeres kunder og andre kan også dele deres billedlegitimation med jer for at bekræfte deres identitet af sikkerhedshensyn.

Et billedlegitimationskort indeholder en kombination af personlige oplysninger, som kan være særligt skadelige for nogen, hvis den forkerte person får fat i det. Sørg for, at I ved, hvor billedlegitimationerne befinder sig, og hvem der har adgang til dem. I skal ikke beholde dem for evigt. Slet dem, I ikke længere har brug for.

Vi foreslår, at I gemmer genkendelige billeder af personer, som I planlægger at bruge til markedsføring, med komplette tags, der identificerer dem, sammen med deres samtykkeformularer. Lav klare politikker og procedurer på plads for at beskytte disse billeder og minimere risikoen for klager/datafejl.

I bør herudover lave regelmæssige opgørelse over jeres billedmateriale. Det vil hjælpe jer med at minimere, overvåge og beskytte personoplysninger. Det vil også gøre det nemt at udarbejde konsekvensanalyser. Derudover kan du hurtigt finde frem til specifikke personers data, så du kan besvare dataanmodninger (DSAR) så som retten til at blive glemt.