Fototilladelse: Din Guide Til GDPR

2 måneder ago

At fange øjeblikke med dit kamera er en passion for mange, men når dine billeder inkluderer andre mennesker, opstår der vigtige overvejelser omkring privatliv og jura. Uanset om du er professionel fotograf, entusiast eller repræsenterer en virksomhed eller forening, er spørgsmålet om samtykke til brug af billeder centralt. Med indførelsen af EU's Persondatalov (GDPR) er reglerne for håndtering af personoplysninger, herunder billeder, blevet strengere. At forstå disse regler og indhente korrekt samtykke er ikke kun et lovkrav, men også et spørgsmål om etik og respekt for de personer, du fotograferer.

Was fällt nicht unter die DSGVO? — Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen nicht unter die Definition und sind damit nicht durch die DSGVO geschützt.

Hvorfor er samtykke nødvendigt? Simpelthen fordi billeder af personer betragtes som personoplysninger. Hvis du ønsker at offentliggøre eller bruge disse billeder til andre formål end rent private (f.eks. på sociale medier, din hjemmeside, i markedsføringsmateriale), skal du have en lovlig basis for behandlingen. En af de mest almindelige og klareste baser er netop samtykke. En fototilladelse eller samtykkeerklæring er et dokument, der giver fotografen eller den, der bruger billederne, tilladelse til at optage og/eller bruge billeder eller film af en person til specifikke formål (kommercielle, personlige, redaktionelle osv.). Formålet er at beskytte både den fotograferede persons rettigheder og fotografen mod potentielle juridiske krav.

Indholds

Persondataloven (GDPR): Hvad dækker den?
Hvad er 'Personoplysninger'?
Teknologiens rolle
Praktisk anvendelse: Samtykke i praksis
Struktur for en Samtykkeerklæring til Fotos
Ofte Stillede Spørgsmål (FAQ) om Fotosamtykke og GDPR
Konklusion
Juridisk Ansvarsfraskrivelse:

Persondataloven (GDPR): Hvad dækker den?

Siden maj 2018 har GDPR sat en høj standard for beskyttelse af personoplysninger i hele EU. Formålet er at give enkeltpersoner mere kontrol over deres data. Artikel 2 i GDPR fastslår, at loven gælder for helt eller delvist automatiseret behandling af personoplysninger, samt ikke-automatiseret behandling af personoplysninger, der er eller skal gemmes i et register.

Dette betyder, at uanset om du gemmer dine billeder digitalt på en computer eller server (automatiseret behandling) eller i et fysisk arkiv (ikke-automatiseret behandling i et register), er behandlingen omfattet af GDPR, hvis billederne indeholder personoplysninger.

Hvad er 'Personoplysninger'?

Ifølge Artikel 4 i GDPR defineres personoplysninger som: 'enhver form for information om en identificeret eller identificerbar fysisk person'. Selvom definitionen kan virke formel, bliver den mere konkret, når vi ser på eksempler. En 'fysisk person' er enhver levende person. Identificeret betyder, at personen er direkte genkendelig ud fra informationen. Identificerbar betyder, at personen kan identificeres indirekte, måske ved brug af yderligere information.

Vigtige kriterier for personoplysninger under GDPR:

Fysiske Personer: Data skal vedrøre en levende, fysisk person. Juridiske personer (virksomheder, foreninger) er ikke dækket af GDPR.
EU-Borgere Globalt: GDPR gælder for behandling af data om EU-borgere, uanset hvor i verden data behandles. Dette har stor betydning for online-tjenester og internationale virksomheder.
Afdøde Personer: Data om afdøde personer er generelt ikke omfattet af GDPR (selvom national lovgivning kan have særregler for f.eks. ærekrænkelse).

Identificeret vs. Identificerbar

Forstå forskellen, da den er central for at vurdere, om data er personoplysninger:

Identificeret Person	Identificerbar Person
Personen kan identificeres direkte ud fra de givne oplysninger uden yderligere viden.	Personen kan identificeres indirekte ved hjælp af yderligere oplysninger, som måske ikke engang er i din besiddelse.
Eksempel: Et portrætbillede med personens fulde navn.	Eksempel: Et billede af en person i en gruppe, hvor personen kan genkendes af andre, eller hvor der findes en liste, der forbinder personens ansigt med en identitet.
Direkte forbindelse mellem data og person.	Indirekt forbindelse, der kræver ekstra viden for at etablere identiteten.

I begge tilfælde er der tale om personoplysninger, og GDPR gælder for behandlingen.

Hvilke data tæller som personoplysninger?

Listen er lang og vokser med teknologien. Klassiske eksempler inkluderer: Navn, adresse, telefonnummer, e-mailadresse, IP-adresse, lokaliseringsdata, bankoplysninger. Men det inkluderer også data, der vedrører en persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. Og ja, et billede af en person, hvor personen er genkendelig, er utvivlsomt en personoplysning. Dette gælder også biometriske data som ansigtsscanninger eller fingeraftryk, som kan udledes fra eller associeres med et billede eller en videooptagelse.

Andre eksempler, der ofte overses, men som kan være personoplysninger, inkluderer: køretøjsnummerplader, medlemskab af en forening, religiøs overbevisning (hvis det kan udledes), og endda en persons udseende i sig selv, hvis det muliggør identifikation.

Sind Fotografien personenbezogene Daten? — Fotografien, egal ob analog oder digital, enthalten stets personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO, wenn hierauf Personen erkennbar sind. Aus dem äußeren Erscheinungsbild der Person sind physische und physiologische Merkmale zu entnehmen.

Anonyme vs. Pseudonyme data

Data, der er fuldstændig anonymiseret, så en person hverken kan identificeres direkte eller indirekte, falder *ikke* under GDPR. Hvis data derimod er pseudonymiseret (f.eks. et ID i stedet for et navn), men hvor det stadig er muligt at identificere personen ved hjælp af yderligere information (f.eks. en nøgle, der forbinder ID'et med navnet), så *er* dataene stadig personoplysninger og omfattet af GDPR. Pseudonymisering kan dog reducere risikoen, men fjerner ikke behovet for et lovligt behandlingsgrundlag.

Teknologiens rolle

Den hastige udvikling inden for dataanalyse, kunstig intelligens og ansigtsgenkendelsesteknologi betyder, at det bliver nemmere at identificere personer ud fra data, der tidligere blev anset for at være anonyme. Algoritmer kan finde mønstre og skabe forbindelser, som mennesker ikke umiddelbart ser. Dette udvider konstant omfanget af data, der potentielt kan klassificeres som personoplysninger, og understreger vigtigheden af at være opmærksom på GDPR.

Praktisk anvendelse: Samtykke i praksis

For fotografer betyder GDPR, at du skal have et lovligt grundlag for at behandle (herunder gemme og offentliggøre) billeder af personer. Som nævnt er samtykke en stærk basis, især for billeder, hvor en eller flere personer er hovedmotivet, og billederne skal bruges til kommercielle eller semi-kommercielle formål (f.eks. markedsføring). Samtykket skal være:

Frivilligt: Personen skal give samtykke uden pres eller negative konsekvenser ved afslag.
Specifikt: Det skal klart angive, hvad der gives samtykke til (hvilke billeder, hvilket formål, hvor offentliggøres det). 'Generelt samtykke' til alt er ikke tilstrækkeligt.
Informationsbaseret: Personen skal informeres om identiteten på dataansvarlig (dig eller din organisation), formålet med behandlingen, kategorier af data (billeder), modtagere af data (hvis relevant), opbevaringsperiode, retten til at trække samtykke tilbage osv.
Utvetydigt: En klar handling fra personen (f.eks. en underskrift på en erklæring eller et aktivt klik på en checkbox).

Det er afgørende, at du kan dokumenteres, at samtykket er indhentet korrekt. Derfor er skriftligt samtykke (enten på papir eller digitalt) langt det sikreste. Mundtligt samtykke kan være gyldigt, men er meget svært at bevise i praksis.

Struktur for en Samtykkeerklæring til Fotos

En god samtykkeerklæring, der lever op til GDPR's krav for samtykke, bør som minimum indeholde:

Identifikation af den fotograferede person: Navn, adresse, og eventuelt kontaktoplysninger. For mindreårige skal forældres/værges oplysninger og samtykke indhentes.
Identifikation af fotografen/organisationen: Navn, adresse, og kontaktoplysninger på den dataansvarlige.
Beskrivelse af billederne: En klar angivelse af, hvilke billeder der tages/bruges (f.eks. 'portrætbilleder fra session den [dato]', 'situationsbilleder fra eventet [navn] den [dato]').
Formål med brugen: Præcise og specifikke formål med brugen af billederne (f.eks. 'til brug på [Virksomhedens Navn]s hjemmeside under 'Om os' sektionen', 'til markedsføring på sociale medier (Facebook, Instagram)', 'til salg som stock-fotos via [platform]', 'til en fotoudstilling på [sted]').
Hvor billederne vil blive offentliggjort/brugt: Specifikke kanaler, platforme eller publikationer.
Opbevaringsperiode: Angiv hvor længe billederne og samtykket vil blive opbevaret, hvis muligt.
Retten til at trække samtykke tilbage: Tydelig information om, at samtykket kan trækkes tilbage til enhver tid, og hvordan dette gøres (f.eks. ved at kontakte en specifik e-mailadresse). Trækkes samtykket tilbage, må billederne ikke længere bruges til de formål, der var dækket af samtykket.
Information om personens rettigheder: Kort information om personens øvrige rettigheder under GDPR (ret til indsigt, berigtigelse, sletning ('retten til at blive glemt'), begrænsning af behandling, dataportabilitet og ret til indsigelse). Henvis eventuelt til Datatilsynets hjemmeside for mere information.
Dato og underskrift: Dato for samtykket og underskrift fra den fotograferede person (og forældre/værge ved mindreårige).

Det er vigtigt at opbevare den underskrevne samtykkeerklæring sikkert som dokumentation for, at samtykke er indhentet korrekt.

Ofte Stillede Spørgsmål (FAQ) om Fotosamtykke og GDPR

Skal jeg altid have samtykke, når jeg tager billeder af folk offentligt? Ikke nødvendigvis for selve optagelsen, men for *offentliggørelse* eller *brug* af billedet til formål, der går ud over rent private eller redaktionelle (hvor pressefrihed kan gælde). Hvis personen er hovedmotivet og genkendelig, er samtykke ofte det sikreste grundlag for offentliggørelse, især til kommercielle formål. Billeder af folketomme gader eller bygninger kræver naturligvis ikke samtykke.
Hvad med billeder fra store begivenheder (koncerter, sportsevents)? Her er enkeltpersoner typisk ikke hovedmotivet, men en del af en større menneskemængde. Offentliggørelse af sådanne billeder er ofte baseret på 'legitim interesse' (GDPR Artikel 6(1)(f)), da det er forventeligt at blive fotograferet som del af et stort publikum. Dog skal man stadig være forsigtig med nærbilleder, hvor enkeltpersoner er i fokus, eller billeder af en person i en sårbar situation.
Gælder GDPR for private fotos på min personlige Facebook? Hvis billederne kun deles med en meget lille, privat kreds (f.eks. familie og nære venner), falder det typisk uden for GDPR's anvendelsesområde ('udelukkende personlig eller familiemæssig aktivitet'). Men hvis du deler billeder offentligt eller med en større, ukendt kreds, eller bruger dem til semi-kommercielle formål (f.eks. som influencer), kan GDPR gælde.
Hvad sker der, hvis jeg offentliggør et billede uden samtykke, når det var påkrævet? Du risikerer brud på Persondataloven, hvilket kan føre til klager til Datatilsynet og potentielt store bøder. Derudover kan den fotograferede person have krav i henhold til anden lovgivning (f.eks. Retten til Eget Billede under ophavsretsloven), som kan medføre erstatningskrav.
Er mundtligt samtykke nok? GDPR kræver, at samtykke skal kunne dokumenteres. Skriftligt samtykke (fysisk eller digitalt) er derfor langt at foretrække, da det giver klar dokumentation i tilfælde af uenighed. En e-mail eller SMS kan i visse tilfælde accepteres som dokumentation, hvis indholdet er tilstrækkeligt specifikt og utvetydigt.
Hvad hvis personen er mindreårig? For børn under 13 år (i Danmark) skal samtykke gives af forældre eller værge. For unge mellem 13 og 15 år kan der gælde særlige regler, men det er ofte sikrest at indhente samtykke fra både den unge og forældre/værge for at være på den sikre side.
Kan man bruge billeder fra sociale medier? Selvom et billede er offentligt tilgængeligt på sociale medier, betyder det ikke automatisk, at du må downloade og bruge det til dine egne formål, især kommercielle. Du skal stadig have et lovligt grundlag, som ofte vil være samtykke fra personen på billedet, medmindre din brug falder ind under en specifik undtagelse.

Konklusion

At navigere i reglerne for fotografering af personer kan virke komplekst, men grundprincippet er klart: Respektér folks ret til privatliv og indhent samtykke, når det er nødvendigt. Forståelsen af, hvad personoplysninger er under Persondataloven, er afgørende for at sikre, at dine billedaktiviteter er lovlige. En korrekt udformet og opbevaret samtykkeerklæring er et vigtigt værktøj for at dokumenteres din ret til at bruge et billede og for at undgå juridiske problemer. Selvom der findes undtagelser og nuancer, er en proaktiv tilgang til samtykke altid den sikreste vej frem for enhver, der arbejder med billeder af mennesker. At have styr på samtykke beskytter ikke kun de fotograferede, men også dig selv og dit virke.

Juridisk Ansvarsfraskrivelse:

Informationen i denne artikel er udelukkende af generel karakter og udgør ikke juridisk rådgivning. Reglerne for persondataret kan være komplekse, og anvendelsen af loven afhænger af de specifikke omstændigheder i hvert enkelt tilfælde. Du bør derfor altid søge professionel juridisk rådgivning hos en advokat, hvis du er i tvivl om din specifikke situation eller har behov for bindende rådgivning vedrørende fotografering og persondataloven. Du kan ikke basere juridiske beslutninger udelukkende på indholdet af denne artikel.

Hvis du vil læse andre artikler, der ligner Fototilladelse: Din Guide til GDPR, kan du besøge kategorien Fotografi.

Franne Voigt

Mit navn er Franne Voigt, jeg er en 35-årig fotograf fra Danmark med en passion for at fange øjeblikke og dele mine erfaringer gennem min fotoblog. Jeg har arbejdet med både portræt- og naturfotografi i over et årti, og på bloggen giver jeg tips, teknikker og inspiration til både nye og erfarne fotografer. Fotografi er for mig en måde at fortælle historier på – én ramme ad gangen.