Fra den 26. september 2019 skelner man ikke længere mellem portrætter og situationsbilleder, når det gælder GDPR. Alle billeder, der lægges på nettet, skal nu behandles, som om de var portrætbilleder.
Men det rejser unægteligt også en række spørgsmål for både offentligt ansatte og private virksomheder, der jævnligt lægger billeder op på sociale medier. For hvad må man, og hvad må man ikke?
Siden 2002 har Datatilsynet skelnet mellem de to typer billeder, der har to forskellige formål. Portrætter afbilder personer; situationsbilleder en stemning, en aktivitet eller – som navnet antyder – en situation.
I de senere år har der dog hersket tvivl om, hvornår et billede bliver til et portræt, og hvornår det kun viser en situation.
Når man offentliggjorde et situationsbillede af myldretiden på Københavns Hovedbanegård kl. 9 mandag morgen, skulle man ikke have et samtykke fra de mennesker, der måtte optræde på billedet. Til gengæld var samtykke et krav, når der var tale om et portræt.
Netop den sondring – når et billede går fra at være en situation til at være et portræt – har mange haft svært ved i praksis. Derfor har Datatilsynet besluttet, at man ikke længere skelner mellem de to.
Den nye praksis fra Datatilsynet: Billeder og GDPR
Når man overvejer, om et billede må offentliggøres på nettet, eller om man må anvende det til et andet formål, uden at man har indhentet samtykke fra de mennesker, der optræder på billedet, skal man udføre en helhedsvurdering.
Helhedsvurderingen betyder – populært sagt – at man skal behandle billedet som enhver anden personoplysning. Man skal altså tage stilling til følgende:
- Der skal være et formål med offentliggørelsen af billedet.
- Det overvejes, om de mennesker, der optræder på billedet, skal oplyses om, at billedet offentliggøres til et bestemt formål. Den, der offentliggør det, har oplysningspligten.
- Man skal sikre, at der er en gyldig grund til at offentliggøre billedet.
- Der skal tages hensyn til børn og unge.
Det får måske det hele til at lyde simpelt, men vi vil fremhæve to skjulte faktorer, der i praksis kan gøre det besværligt at offentliggøre, hvad man tidligere kaldte et situationsbillede uden samtykke.
Den første faktor er ”de og det afbildede”. Personoplysninger opdeler man i kategorierne almindelige, fortrolige og følsomme personoplysninger. Afhængigt af typen er det såkaldte hjemmelskrav forskelligt.
Eksempelvis kan en skole bruge en “interesseafvejningshjemmel”, hvis skolen vurderer, at de har en interesse i at vise et billede af skolens aktiviteter. Den gælder fx, når billedet er i kategorien almindelig personoplysning.
Når billedet bliver til en følsom oplysning, kan man ikke længere bruge billedet, fordi det alene er i skolens interesse.
Det er derfor vigtigt at overveje følgende i forhold til billeder og GDPR:
- Har nogen af personerne på billedet, en tydelig sygdom eller et tydeligt handicap?
- Kan man aflæse noget om personens samfundsmæssige situation (tro, seksuelle overbevisning osv.)?
- Kan man – baseret på lokationen – antage noget om personens helbred eller samfundsmæssige situation? Som konkrete eksempler kan nævnes billeder af besøgende i en kirke eller tilsvarende religiøs enhed, eller billeder af deltagere til events, der støtter en bestemt overbevisning.
Vi vil dog understrege, at selv om skoler og andre institutioner godt kan offentliggøre billeder af børn og unge uden forældres samtykke, skal man give en særlig beskyttelse til den gruppe - blandt andet fordi de ikke har samme bevidsthed om konsekvensen, når billeder af dem bliver lagt online.
Almindelige eller følsomme oplysninger – et eksempel
Et eksempel kunne være en familie med et barn i 3. klasse. Af en eller anden god grund har familien navne- og adressebeskyttelse.
En dag ser forældrene, at skolen uden at informere om det har taget et billede af barnets klasse, hvor de bager julekager, og har delt billedet på skolens Instagram-profil.
Under normale omstændigheder er skolen i sin gode ret til at offentliggøre billedet, så længe ingen af børnene har noget identificerbart handicap, eller så længe billedet ikke afslører deres religion, og hvis blot skolen har en legitim interesse i at offentliggøre billedet, som i dette tilfælde fx kunne være at vise, hvor dejligt børnene har det på skolen.
Nu er situationen imidlertid den, at data om barnets lokation ikke længere er almindelige personoplysninger, men en fortrolig information.
Den skal derfor beskyttes, som var den følsom. Derfor ville man kunne få den fjernet – eller få barnet skåret ud af billedet.
Skulle skolen af uransagelige årsager ikke ville gå med til at fjerne billedet, kan skolen meldes til Datatilsynet.
Vores anbefaling er, at hvis barnet af en eller anden årsag ikke skal fotograferes, bør man melde det klart ud (gerne på skrift) til både lærere og ledere.
GDPR for den enkelte?
Billeder af personen selv
Den nye praksis gør det lettere for en privatperson at udfordre virksomheder, hvis de offentliggør billeder af én på nettet.
Hvis man ser et billede af sig selv på nettet, kan man i princippet gå ud fra, at virksomheden holder sig inden for lovens rammer, i kraft af at de burde have taget højde for de ting, der er beskrevet tidligere i denne artikel.
Hvis man imidlertid mener, at billedet afslører følsomme informationer om én selv, kan det være, at virksomheden har begået en fejl ved ikke at få et samtykke fra personen. I dette tilfælde kan man bede virksomheden om at redegøre for, hvorfor de mener, de har ret til at offentliggøre billedet.
Hvis man er uenig med dem, kan man bede dem om at fjerne billedet. Hvis ikke de gør det, kan man melde dem til Datatilsynet – man skal dog altid selv tage kontakt til virksomheden først.
Tilbagetrækning af samtykke
Hvis man har givet samtykke til offentliggørelse af et billede, er det ikke ensbetydende med, at man ikke kan få det fjernet. Et samtykke kan nemlig altid tilbagekaldes. Det betyder, at virksomheden ikke længere må bruge det.
Det betyder dog ikke, at virksomheden skal slette alle data, den har indsamlet, mens samtykket var gyldigt. Det samme gælder offentlige institutioner.
Billeder i virksomheder/organisationer
Den nye praksis betyder, at en virksomhed altid skal kunne dokumentere en gyldig grund til at uploade et billede.
Praksis fjerner ikke behovet for at tage stilling til, om billedet kan intimidere et eller flere af de mennesker, der er på billedet. Man skal stadig tage hensyn til, hvad billedet afbilder.
Billeder af ansatte, som tydeligvis har taget godt for sig af juleøllen, må derfor ikke lægges op. Den eneste undtagelse vil være, hvis personen selv har givet sit samtykke til det. Vi anbefaler, at samtykket fås, når branderten er aftageten smule.
Det er vigtigt at understrege, at hvis virksomheden har indhentet et generelt samtykke til at tage og offentliggøre billeder af en arbejdssituation, gælder den ikke her. Den skal i dette tilfælde indhente unikt samtykke.
Datatilsynet skriver derudover, at det normalt vil kræve et samtykke at offentliggøre følgende:
- Billeder af besøgende hos lægen, kunder i banken og i fitnesscentret eller lignende.
- Billeder af besøgende på en bar, natklub, diskotek eller lignende.
- Billeder af ansatte på arbejde i en privat virksomhed eller hos en offentlig myndighed.
Mere overskueligt atoffentliggøre billeder
Det positive ved den nye praksis er, at hvis man har en klar grund til at offentliggøre billeder af sine ansatte, vil man ikke behøve at indhente samtykke hver gang, man vil offentliggøre et billede af dem. Man skal imidlertid kunne argumentere for, at virksomhedens interesse overgår den privates.
Man er dog ikke fri af oplysningspligten; man skal informere de ansatte, inden man bruger billedet. Skulle en ansat bede om at få fjernet et billede, som virksomheden ikke kan se, skader personen, og kan den dokumentere en legitim grund til, at billedet er offentliggjort, er den ikke tvunget til at fjerne det.
Alt i alt
GDPR er kommet for at blive. At det måske kan virke som noget ”bøvl”, opvejes forhåbentlig ved, at vi vel alle har en interesse i, at vi passer på hinanden og vores data.