Spørgsmålet om, hvorvidt billeder er omfattet af GDPR, er relevant for mange, fra professionelle fotografer og virksomheder til bloggere og private. Persondataforordningen, eller GDPR (General Data Protection Regulation), har en bred dækning, og billeder, der indeholder identificerbare personer, falder ofte inden for dens anvendelsesområde. Det er afgørende at forstå reglerne for at undgå overtrædelser og respektere individers ret til privatliv.
For online-medier og bloggere, der ikke er tilmeldt som mediedatabase hos Pressenævnet og Datatilsynet, vil behandling af personbilleder og -oplysninger helt sikkert være omfattet af persondataforordningen. Det samme gælder for virksomheder og offentlige institutioner. Dette understreger, at GDPR ikke kun er relevant for traditionelle medieaktører, men for enhver, der behandler personoplysninger i form af billeder.
- Billeder som Persondata
- Hvornår Gælder GDPR for Billeder?
- Det Vigtigste Grundlag: Legitim Interesse vs. Samtykke
- Vurderingen af Legitim Interesse
- Samtykke – Når det er Nødvendigt
- Oplysningspligt – Fortæl Folk, Hvad der Sker
- Indsigelser og Rettigheder
- Ansvar og Dokumentation
- Principper for God Databehandlingsskik
- Samarbejde med Databehandlere
- Hvad sker der, hvis man ikke overholder GDPR?
-
Ofte Stillede Spørgsmål om Billeder og GDPR
- Skal jeg altid have samtykke for at bruge et billede af en person?
- Hvornår er samtykke typisk nødvendigt?
- Hvad betyder "legitim interesse" i praksis for billeder?
- Kan en person trække sit samtykke til billedbrug tilbage?
- Skal jeg informere folk, før jeg tager billeder af dem og offentliggør dem?
- Hvad hvis en person beder mig om at fjerne et billede, de er på?
- Er billeder af børn omfattet af særlige regler under GDPR?
Billeder som Persondata
Først og fremmest er det vigtigt at slå fast, hvad der menes med personoplysninger i GDPR-regi. Personoplysninger defineres som information i enhver form – tekst, billede, lyd, video osv. – der kan bruges til at identificere en bestemt person. For at en oplysning defineres som en personoplysning, skal den indgå i en sammenhæng, hvor den bidrager til identifikationen af en bestemt person.
Et billede af en person, hvor personen er genkendelig, vil typisk blive betragtet som en personoplysning. Hvis billedet indeholder flere personer, og de er identificerbare, indeholder billedet personoplysninger om hver enkelt genkendelig person. Oplysninger kan have forskellig karakter; almindelige personoplysninger er harmløse, mens følsomme personoplysninger (som race, religion, politisk overbevisning, helbred) nyder ekstra stærk beskyttelse. Et billede kan i sjældne tilfælde indeholde følsomme oplysninger, f.eks. hvis det afslører en persons helbredstilstand eller politiske tilhørsforhold.
Hvornår Gælder GDPR for Billeder?
GDPR gør sig gældende, hver gang personoplysninger indsamles og behandles. Dette princip gælder direkte for billeder. Hvis du tager, gemmer, redigerer, offentliggør eller på anden måde håndterer et billede, der indeholder identificerbare personer, foretager du en databehandling, som potentielt er omfattet af GDPR.
De forskellige roller under GDPR er relevante her:
- Datasubjektet: Personen(erne) på billedet. De har rettigheder i henhold til forordningen.
- Dataansvarlig: Den person eller virksomhed, der bestemmer formålet med og midlerne til behandlingen af billedet (f.eks. fotografen, virksomheden der bruger billedet). Den dataansvarlige er ansvarlig for overholdelse af GDPR.
- Databehandler: En person eller virksomhed, der behandler billedet på vegne af den dataansvarlige (f.eks. et webbureau, der hoster hjemmesiden med billedet).
Selv hvis du har fået samtykke fra personerne på billedet, eller der slet ikke er afbildet personer, bør du stadig tænke dig om, når du bruger billedet, særligt til reklame. Hvis andre virksomheder, varemærker eller forretningskendetegn er en del af billedet, kan det være problematisk i forhold til markedsføringsretten, selvom dette ikke er en del af GDPR i sig selv.
Det Vigtigste Grundlag: Legitim Interesse vs. Samtykke
Et centralt princip i GDPR er, at behandling af personoplysninger skal have et lovligt grundlag. For billeder af personer er de mest relevante grundlag typisk enten samtykke fra den afbildede eller en legitim interesse hos den dataansvarlige, der overstiger den afbildedes interesse i beskyttelse.
Som udgangspunkt kræves der ikke samtykke efter GDPR, hvis du har en legitim interesse i at offentliggøre billedet — og den overstiger den afbildedes interesse og grundlæggende rettigheder. Dette er en vigtig undtagelse, men vurderingen kan være kompleks.
Vurderingen af Legitim Interesse
Vurderingen af, om din legitime interesse overstiger personens krav på beskyttelse, afhænger af flere faktorer:
- Hvor billedet er taget: Du vil ikke kunne offentliggøre billeder optaget af personer på områder, hvor den affotograferede typisk har et ønske og forventning om ikke at blive fotograferet. Datatilsynet mener, at det også kan være områder, som er frit tilgængelige, hvis konteksten skaber en forventning om privatliv.
- Billedets karakter og kontekst: Det er afgørende, at dem der er på billedet, ikke med rimelighed kan føle sig udstillet, udnyttet eller krænket. Jo mere kommerciel, reklamemæssig, politisk eller religiøs sammenhæng billedet indgår i, desto mere bør samtykke-reglerne for denne type anvendelse iagttages. Brug af afbildede personer i disse sammenhænge vil næsten altid kræve samtykke.
- Brug som genrebillede eller i arkiv: Du bør være meget varsom med at anvende billeder til at illustrere andet end præcis det, som situationen vedrørte. Det kan typisk ske, hvis du bruger billedet som genrebillede eller lægger det i et foto-arkiv til senere brug. Her kan den legitime interesse i at illustrere et generelt emne være svagere end personens interesse i ikke at optræde i en ukendt eller uønsket kontekst.
- Billeder af børn: Børn nyder en særlig beskyttelse, så der skal mindre til, før billeder af børn ikke kan offentliggøres baseret på legitim interesse. Samtykke fra forældremyndighedsindehavere er ofte nødvendigt.
Samtykke – Når det er Nødvendigt
Hvis din interesse i at bruge billedet ikke med sikkerhed overstiger den afbildedes krav på beskyttelse, bør du indhente et samtykke. Et gyldigt samtykke skal være specifikt, informeret og utvetydigt. Dette betyder, at personen skal vide præcist, hvad der gives samtykke til (hvilket billede, til hvilket formål, i hvilken sammenhæng det bruges).
Du bør dog være opmærksom på, at personerne altid kan trække deres samtykke tilbage med den følge, at du skal fjerne billedet. Dette er en fundamental ret under GDPR. Alternativt til et rent samtykke kan du lave en aftale med de afbildede personer, f.eks. en modelreleaseaftale, hvor de modtager en form for modydelse, fx betaling, for brugen af billedet. En sådan aftale kan give en mere robust retsstilling end et rent samtykke, men GDPR's principper, herunder oplysningspligt og indsigelsesret, gælder stadig.
Oplysningspligt – Fortæl Folk, Hvad der Sker
Ud over et eventuelt samtykke har du som dataansvarlig en oplysningspligt over for de genkendelige og afbildede personer. De skal have at vide, at du vil offentliggøre billeder af dem, og information om formålet med behandlingen, den dataansvarliges identitet, deres rettigheder osv. Den sikre måde at opfylde oplysningspligten på er at sende informationen direkte til de afbildede personer, f.eks. via mail.
Mange anvender dog alternative måder, fx skiltning ved et arrangement, mundtlige beskeder eller forudgående information til deltagerne. Datatilsynet har endnu ikke taget stilling til, i hvilken udstrækning disse alternative måder er tilstrækkelige i alle situationer. For billeder, hvor det er umuligt at identificere og kontakte alle afbildede (f.eks. store menneskemængder ved et offentligt arrangement), kan skiltning eller information via arrangementets hjemmeside/program være den eneste praktiske mulighed, men risikoen for manglende opfyldelse af oplysningspligten kan være højere.
Indsigelser og Rettigheder
En person, som er afbildet og genkendelig på et billede, har ret til at gøre indsigelse mod behandlingen af deres personoplysninger (herunder offentliggørelsen af billedet). De kan forlange, at du fjerner billedet. Datatilsynet mener, at et sådant krav fra den afbildede person har betydning for afvejningen mellem dine interesser i offentliggørelse og den afbildedes krav på beskyttelse. En indsigelse vil typisk tippe vægtskålen til fordel for fjernelse, især hvis din legitime interesse i forvejen var tvivlsom.
Hvis du ikke fjerner billedet efter en berettiget indsigelse, kan personen klage til Datatilsynet. Datatilsynet kan undersøge sagen og i sidste ende pålægge dig at fjerne billedet og potentielt udstede sanktioner.
Datasubjekter har også andre rettigheder, der er relevante for billeder, f.eks. retten til indsigt i, hvilke billeder du har af dem, retten til berigtigelse (hvis f.eks. navnet tilknyttet billedet er forkert) og retten til sletning (retten til at blive glemt), som en anmodning om fjernelse af et billede er et eksempel på.
Ansvar og Dokumentation
GDPR forpligter den dataansvarlig til selv at sørge for, at reglerne overholdes. Dette princip om ansvarlighed (accountability) er centralt. Det betyder, at du ikke kun skal overholde reglerne, men også skal kunne dokumentere, at du gør det. Dette gælder også for din håndtering af billeder.
Dokumentation kan omfatte:
- Registrering af de billeder, du behandler, der indeholder personoplysninger.
- Dokumentation for indhentede samtykker (hvem, hvornår, til hvad).
- Dokumentation for din vurdering af legitim interesse, hvis du baserer behandlingen herpå.
- Dokumentation for opfyldelse af oplysningspligten.
- Registrering af modtagne indsigelser og hvordan de er håndteret.
At føre en fortegnelse over behandlingsaktiviteter er et generelt krav i GDPR, som også omfatter behandling af billeder, der er personoplysninger. Denne fortegnelse skal beskrive formålene med behandlingen, kategorier af personoplysninger (f.eks. 'billeder af medarbejdere', 'billeder fra arrangementer'), kategorier af modtagere, opbevaringsfrister osv. Dokumentationen skal foreligge skriftligt og elektronisk.
Derudover skal du implementere passende tekniske og organisatoriske foranstaltninger for at sikre datasikkerhed for dine billeder. Dette indebærer at beskytte billedfilerne mod uautoriseret adgang, tab eller ødelæggelse. En risikovurdering af din billedhåndtering kan hjælpe med at identificere sårbarheder og passende sikkerhedsforanstaltninger.
Principper for God Databehandlingsskik
Artikel 5 i GDPR oplister en række grundlæggende principper for behandling af personoplysninger, som også gælder for billeder:
- Lovlighed, rimelighed og gennemsigtighed: Billeder skal behandles lovligt (baseret på samtykke, legitim interesse el.lign.), rimeligt (uden at krænke de afbildede) og på en gennemsigtig måde (personerne skal informeres).
- Formålsbegrænsning: Billeder må kun indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål. Hvis et billede er taget til ét formål, må det som udgangspunkt ikke bruges til et helt andet formål uden nyt grundlag (f.eks. nyt samtykke).
- Dataminimering: Indsamlingen af billeder skal begrænses til det, der er nødvendigt for formålet. Overvej, om du virkelig behøver billeder med identificerbare personer, eller om anonymiserede billeder kan opfylde formålet.
- Rigtighed: Personoplysninger skal være korrekte og om nødvendigt ajourføres. Hvis et billede f.eks. bruges i en kontekst, der fejlagtigt identificerer personen eller situationen, skal dette rettes.
- Opbevaringsbegrænsning: Billeder med personoplysninger må ikke opbevares længere end nødvendigt for det formål, hvortil de behandles. Når formålet ophører (f.eks. efter et arrangements afslutning, eller når en medarbejder forlader virksomheden, hvis billedet er af denne), skal billedet slettes eller anonymiseres, hvis det ønskes bevaret til arkivformål uden identifikation.
- Integritet og fortrolighed: Billeder skal behandles på en måde, der sikrer tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse.
Samarbejde med Databehandlere
Hvis du benytter eksterne tjenester til at håndtere dine billeder, f.eks. en cloud-tjeneste til lagring, et webbureau til hjemmesiden eller en ekstern redaktør, der arbejder med billederne, agerer disse som databehandlere. Som dataansvarlig er du ansvarlig for, at dine databehandlere overholder GDPR.
Du skal indgå en skriftlig databehandleraftale med enhver databehandler. Aftalen skal specificere behandlingsaktiviteterne, formålet, varigheden, type af personoplysninger (billeder), kategorier af registrerede (personerne på billederne) og databehandlerens forpligtelser, herunder at behandle data alene efter din instruks, sikre passende sikkerhed og underrette dig ved brud på sikkerheden.
Hvad sker der, hvis man ikke overholder GDPR?
Overtrædelse af GDPR kan føre til alvorlige konsekvenser. Datatilsynet kan udstede advarsler, påbud om at ændre behandlingspraksis eller slette data, og i alvorlige tilfælde politianmelde den dataansvarlige med henblik på bødestraf ved domstolene i Danmark. Bøderne kan være betydelige.
Ofte Stillede Spørgsmål om Billeder og GDPR
Her er svar på nogle hyppige spørgsmål baseret på reglerne:
Skal jeg altid have samtykke for at bruge et billede af en person?
Nej, ikke altid. Hvis du har en legitim interesse i at offentliggøre billedet, som overstiger den afbildedes interesse i beskyttelse, kan du som udgangspunkt offentliggøre billedet uden samtykke. Vurderingen af legitim interesse er dog kompleks og afhængig af konteksten.
Hvornår er samtykke typisk nødvendigt?
Samtykke er næsten altid nødvendigt, hvis billedet bruges i en kommerciel, reklamemæssig, politisk eller religiøs sammenhæng. Det bør også indhentes, hvis din legitime interesse ikke med sikkerhed overstiger den afbildedes krav på beskyttelse, f.eks. ved brug som genrebillede eller ved billeder af børn.
Hvad betyder "legitim interesse" i praksis for billeder?
Det betyder, at du har en saglig grund til at offentliggøre billedet (f.eks. journalistisk formål, dokumentation af et arrangement), men du skal afveje dette mod personens ret til privatliv. Konteksten (hvor billedet er taget, hvad det viser, hvordan det bruges) er afgørende for denne afvejning.
Kan en person trække sit samtykke til billedbrug tilbage?
Ja. Et samtykke kan altid trækkes tilbage. Hvis en person trækker sit samtykke tilbage, skal du ophøre med at bruge billedet og som udgangspunkt slette det.
Skal jeg informere folk, før jeg tager billeder af dem og offentliggør dem?
Ja, hvis de er identificerbare og du agter at offentliggøre billedet, har du oplysningspligt. Du skal informere dem om, at billeder vil blive offentliggjort, og give dem relevant information om behandlingen og deres rettigheder. Direkte information via mail er den sikreste metode.
Hvad hvis en person beder mig om at fjerne et billede, de er på?
En person har ret til at gøre indsigelse mod behandlingen af deres data, herunder offentliggørelsen af et billede. En sådan indsigelse har vægt i afvejningen af interesser. I praksis bør du efterkomme en berettiget anmodning om fjernelse. Hvis du ikke gør det, kan personen klage til Datatilsynet.
Er billeder af børn omfattet af særlige regler under GDPR?
Ja, børn nyder særlig beskyttelse under GDPR. Der skal mindre til, før billeder af børn ikke kan offentliggøres uden et klart og informeret samtykke fra forældremyndighedsindehaverne, og vurderingen af legitim interesse er strengere for billeder af børn.
At håndtere billeder, der indeholder personoplysninger, kræver omhyggelighed og kendskab til GDPR's grundlæggende principper. Ved at forstå reglerne om samtykke, legitim interesse, oplysningspligt og datasubjekters rettigheder, kan du sikre, at din fotografering og billedbrug sker i overensstemmelse med lovgivningen og med respekt for privatlivets fred. I tvivlstilfælde er det altid en god idé at søge juridisk rådgivning eller kontakte Datatilsynet for vejledning.
| Situation | Typisk Grundlag (Baseret på Teksten) | Vigtige Overvejelser |
|---|---|---|
| Billeder af medarbejdere på intern hjemmeside | Legitim interesse (drift) eller Samtykke | Formål, medarbejdernes forventning, oplysningspligt. Samtykke ved marketing/offentlig brug. |
| Billeder fra et offentligt arrangement (ikke-kommercielt) | Legitim interesse (dokumentation af event) | Kontekst (føler folk sig udstillet?), oplysningspligt (skiltning kan bruges, men usikkerhed), indsigelsesret. |
| Billeder til brug i reklamer/marketing | Samtykke (næsten altid påkrævet) | Skal være specifikt, informeret, frit givet. Kan trækkes tilbage. Overvej modelrelease. |
| Genrebilleder med identificerbare personer | Ofte Samtykke | Svagere legitim interesse, da billedet ikke illustrerer en specifik situation. Høj risiko for at personen føler sig krænket/udnyttet. |
| Billeder fra privat fest/arrangement | Samtykke eller meget snæver Legitim interesse (f.eks. privat brug) | Høj forventning om privatliv. Publicering kræver typisk samtykke fra alle genkendelige. |
| Billeder af børn offentliggjort online | Samtykke (fra forældremyndighed) | Særlig beskyttelse. Legitim interesse som grundlag er sjældent tilstrækkeligt for publicering. |
Hvis du vil læse andre artikler, der ligner Billeder og GDPR: Regler for Fotografer, kan du besøge kategorien Fotografi.