Det korte svar: Ja – billeder kan være personoplysninger, hvis de viser en identificerbar person. Det gælder både portrætbilleder og situationer, hvor en person kan genkendes ud fra fx tøj, omgivelser eller kontekst. Derfor skal billeder behandles i overensstemmelse med GDPR, særligt hvis de deles eller lagres digitalt. Til at lette behandlingen af billeder med følsomt indhold er der særlige værktøjer, som bl.a. kan bruges til at identificere GDPR-indhold.
Billeder og GDPR
Idag bruger virksomheder billeder til alt fra interne dokumentation til markedsføring. Det er derfor afgørende for virksomheder at forstå, hvorvidt billeder betragtes som personlige oplysninger og – i så fald – hvilken betydning det har i forhold til databeskyttelse. Forordningen GDPR sætter nemlig strenge krav til beskyttelse af personoplysninger, og ethvert brud på disse regler, kan medføre alvorlige konsekvenser for en virksomhed.
Denne guide handler om, hvorvidt billeder skal betragtes som følsomt materiale, og hvordan man som virksomhed skal håndtere billeder for at være compliant.
Er billeder personlige oplysninger?
Svaret er ja – billeder af levende personer, der kan bruges til at identificere dem, er personoplysninger ifølge GDPR.
Hvornår er billeder personlige oplysninger?
I henhold til GDPR omfatter personoplysninger alle oplysninger, der kan bruges til at identificere en levende person. Oplysninger, der, i sig selv eller sammen med andre oplysninger, kan føre til identifikation af en person, betragtes som personoplysninger.
Mange typer af billeder og videoer kan helt sikkert falde ind under denne kategori. For eksempel:
- Medarbejderfotos og ID-kort, især hvis fotografierne afslører personens nationale oprindelse, race, handicap osv.
- Videoovervågnings-materiale af personer, hvor de kan identificeres. Udførelse af denne type overvågning kan kræve en konsekvensanalyse (DPIA).
- Videoer med høj opløsning af folks ansigter, der kan bruges til ansigtsgenkendelse, regnes som biometriske data. Disse er særlige kategorier eller følsomme data i henhold til GDPR.
- Et foto af en person sammen med metadata. Dette kan vise en persons placering, GPS-position og meget mere. De kan bruges til at opspore en person eller til at inkriminere vedkommende i retten.
- Billeder af foto-ID’er kombinerer et ansigtsbillede med følsomme ID-numre + og andre personlige data. Det kan skade nogen, hvis det falder i de forkerte hænder.
Hvornår skal vi sikre retten til at bruge fotos?
Fotografier, der er taget til rent personligt brug, er undtaget fra GDPR. Men virksomheder og organisationer, der bruger en persons foto, skal sikre retten til at bruge fotos, hver gang billederne bruges i en sammenhæng, hvor de kan identificere personer, eller når de bruges kommercielt. Retten til at bruge et foto handler om både juridiske og etiske aspekter, og det indebærer at opnå samtykke fra de personer, der er med på billedet.
Ved at være proaktiv og sikre disse rettigheder på forhånd undgår I potentielle juridiske problemer og viser respekt for dem, der optræder på billederne. En god idé kan være at udvikle en standard proces for at indhente samtykke, som kan bruges konsekvent ved alle relevante aktiviteter og situationer, hvor billeder indsamles og anvendes.
Hvordan indhenter vi samtykke til at bruge fotos?
Når I indsamler billeder, er det afgørende at få eksplicit samtykke, især når billederne kan identificere personer. Ifølge GDPR skal samtykke være frivilligt, specifikt, informeret og utvetydigt. Det betyder, at personen klart skal forstå, hvad deres billede bruges til, og have mulighed for at trække samtykket tilbage.
En god praksis er at udarbejde en skriftlig samtykkeerklæring, som beskriver formålet med billedet, hvor længe det vil blive brugt, og hvordan det vil blive opbevaret. En sådan erklæring kan udleveres i forbindelse med events, fotoshoots eller i forbindelse med medarbejderaftaler. Det kan også være nyttigt at opbevare samtykker digitalt for nem adgang og administration.
Start GDPR-oprydningen med det fulde overblik
En GDPR Risiko-rapport giver jer et komplet overblik over GDPR-risikoen i jeres virksomhed. Rapporten udarbejdes på baggrund af et scan med DataMapper,
Billeder og retten til at blive glemt
I henhold til GDPR kan EU-borgere i mange tilfælde bede jer om at slette deres personlige data, herunder billeder. For eksempel:
- Hvis de data, I har indsamlet om dem, ikke længere er relevante for årsagen til, at de blev indsamlet, og hvis de indeholder følsomme personoplysninger, eller hvis sådanne oplysninger er forældede
- Hvis personen trækker sit samtykke til, at I må bruge vedkommendes oplysninger tilbage (og I ikke har noget andet retsgrundlag for at indsamle dem)
- Hvis personen gør indsigelse mod, at I indsamler oplysninger til direkte markedsføringsformål
- Hvis den pågældendes oplysninger er blevet behandlet ulovligt eller betragtes som følsomme oplysninger
- Hvis det er lovpligtigt at slette oplysningerne
- Hvis dataene tilhører et barn
I alle disse tilfælde skal I slette personens data og billeder så hurtigt som muligt. Svar personen med en bekræftelse på, at I har slettet deres billeder og andre personlige oplysninger inden for 30 dage.
Folk kan også bede om oplysninger om de data, I gemmer, herunder billeder. De kan bede jer om at videregive deres data til tredjeparter, begrænse jeres brug af dem og meget mere. Læs mere om datarettigheder her.
Brug af billeder af medarbejdere
Brugen af medarbejderes billeder på virksomhedens hjemmeside eller i markedsføringsmateriale er almindelig praksis. Her er det dog vigtigt at være opmærksom på medarbejdernes rettigheder, herunder retten til anonymitet. Selvom mange medarbejdere er villige til at få taget billeder, er det stadig nødvendigt at få deres samtykke, især hvis billederne bruges offentligt.
Når en medarbejder opsiger sin stilling, bør virksomheden også vurdere, om billederne stadig er relevante og nødvendige at beholde. Det kan skabe en bedre kultur, hvis medarbejderne ved, at deres samtykke ikke er permanent og kan trækkes tilbage.
Brug af kundefotos
Brug af kundefotos kan være en effektiv måde at skabe troværdighed og engagement, men det kræver ekstra omhu. Kunder kan opleve det grænseoverskridende, hvis deres billeder bruges uden tilladelse, især i reklame- og markedsføringskontekster. Det bedste råd er altid at spørge om skriftligt samtykke fra kunderne og præcisere, hvordan og hvor billederne vil blive brugt.
For at lette processen kan I udarbejde en standardiseret samtykkeerklæring, som I kan præsentere, når I indsamler billeder af kunder eller til events eller lignende situationer, hvor I tager billeder af kunder. I bør også informere kunderne om, at de til enhver tid kan bede om at få fjernet deres billeder.
Brug af billeder af børn
Billeder af børn kræver ekstra omhyggelighed og beskyttelse, da børn ifølge GDPR anses for at have behov for særlig beskyttelse af deres data. Det betyder, at der altid skal indhentes samtykke fra forældrene eller værgerne, før billeder af børn anvendes, især når de kan identificeres. Derudover er det vigtigt at overveje, hvorvidt det er nødvendigt og passende at offentliggøre billeder af børn i offentlige eller kommercielle sammenhænge.
Ved offentliggørelse af billeder af børn, for eksempel i skolereportager eller arrangementer, kan det være en god idé at anvende billeder, hvor børnene ikke er genkendelige – enten ved at tage billeder bagfra eller ved at sløre ansigter. Dette sikrer en vis anonymitet og beskytter børnene yderligere.
Disse retningslinjer kan hjælpe jeres virksomhed med at overholde lovgivningen og skabe en tryg og etisk ansvarlig brug af billeder.
Vil du vide mere om personoplysninger?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Sådan holder I styr på jeres billeder
FAQ om billeder og GDPR
1. Hvornår betragtes et billede som en personoplysning?
Et billede anses som en personoplysning, når en person kan identificeres – enten direkte via ansigtstræk, eller indirekte via fx tøj, omgivelser, kropsbygning eller kontekst.
2. Skal jeg have samtykke for at tage billeder af mennesker?
Som udgangspunkt ja – især hvis billedet skal bruges til offentliggørelse eller kommercielle formål. Til internt brug (fx dokumentation) kan andre behandlingsgrundlag gælde, men GDPR skal stadig overholdes.
3. Hvad med billeder taget i det offentlige rum?
Selvom det er lovligt at tage billeder i det offentlige rum, skal du stadig være opmærksom på, om personerne på billedet kan identificeres – og om billedet skal bruges i en kontekst, der kræver samtykke eller opfyldelse af andre GDPR-krav.
4. Må jeg bruge billeder fra sociale medier? Ikke uden videre.
At et billede er offentligt tilgængeligt betyder ikke, at det frit kan genbruges. Du har stadig ansvar for at overholde persondataregler, inkl. lovligt grundlag og informationspligt.
5. Hvordan opbevarer jeg billeder lovligt ifølge GDPR? Billeder, der er personoplysninger, skal opbevares sikkert – fx via kryptering og adgangskontrol.
Du skal også have styr på formål, sletningstidspunkter og dokumentation af behandlingsgrundlaget.
Start med at finde ud af hvilke billeder I har
Hvordan identificerer man alle billeder, hvori der er indlejret følsomme termer? Man kunne kigge alle billeder igennem manuelt, men det ville være særdeles tidskrævende. Man kan ikke søge efter GDPR-udtryk i et billede på samme måde som man kan med en tekst. Det er derfor kompliceret at finde følsomme oplysninger i billeder.
I Safe Online har vi udviklet Data Discovery-værktøjet DataMapper, som netop kan identificere følsomme udtryk afbilledet på billeder. Dette kunne være f.eks på billeder af pas, kørekort, sygesikringsbevis, skatte-informationer, patient-informationer og meget mere.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.