Billeder og GDPR – hvilke regler gælder på internettet?

Datatilsynet har netop ændret sin praksis i forhold til offentliggørelse af billeder på internettet. Lund Elmer Sandager ser i denne artikel nærmere på betydningen af Datatilsynets ændrede praksis.
Nyhed
GDPR

Databeskyttelsesreglerne gælder også for virksomheders offentliggørelse af oplysninger om identificerbare personer på internettet. Det gælder f.eks. offentliggørelse af billeder af ansatte på virksomhedens hjemmeside eller på sociale medier. Det kan dog også være billeder, der bliver taget i forbindelse med sociale eller faglige arrangementer, som virksomheden afholder.

Afgrænsning mellem situations- og portrætbilleder

Datatilsynet har hidtil skelnet mellem to forskellige typer af billeder, nemlig portrætbilleder og de såkaldte situationsbilleder.

  • Situationsbilleder har typisk til formål at vise en gruppe af personer i en bestemt situation – det kan f.eks. være deltagere til et socialt eller fagligt arrangement.
  • Portrætbilleder har typisk til formål at profilere en eller flere bestemte personer – det kan f.eks. være en medarbejderprofil på virksomhedens hjemmeside.

Efter Datatilsynets hidtidige praksis har udgangspunktet været, at situationsbilleder som udgangspunkt ikke krævede samtykke (dog med visse undtagelser, herunder for situationsbilleder af medarbejdere), mens offentliggørelse af portrætbilleder som udgangspunkt altid krævede samtykke.

Datatilsynet har nu ændret sin praksis, så det i højere grad er en konkret vurdering, hvornår offentliggørelse af et billede kræver samtykke – det gælder både offentliggørelse af situationsbilleder og offentliggørelse af portrætbilleder.

Ved virksomhedens vurdering af, om der kan ske offentliggørelse af et billede, skal virksomheden bl.a. se på karakteren af billedet, herunder hvor og hvorfor billedet er taget, i hvilken sammenhæng billedet indgår, og hvad formålet med offentliggørelsen af billedet er. Det er afgørende, at de personer, der er på billedet, ikke med rimelighed kan føle sig udstillet, udnyttet eller krænket.

Er der tale om billeder med børn og unge, gælder en særlig beskyttelse, fordi børn og unge oftest er mindre bevidste om de risici og konsekvenser, der kan være forbundet med offentliggørelse af billeder.

Konkrete eksempler

Datatilsynet har sin i meddelelse om den ændrede praksis, som du kan finde her, oplistet en række konkrete eksempler på, hvor billeder som udgangspunkt kræver samtykke, og hvornår billeder som udgangspunkt kan offentliggøres uden samtykke.

Eksempler på billeder, der normalt ikke vil kunne offentliggøres uden samtykke:

  • Billeder af besøgende hos lægen, kunder i banken og i fitnesscentret eller lignende.
  • Billeder af besøgende på en bar, natklub, diskotek eller lignende.
  • Billeder af ansatte på arbejde i en privat virksomhed eller en offentlig myndighed

Eksempler på billeder, der som udgangspunkt kan offentliggøres uden samtykke:

  • Billeder af publikum til en koncert
  • Billeder af besøgende i en zoologisk have eller lignende
  • Billeder optaget under en fritidsklub eller forenings udfoldelse af aktiviteter

Lund Elmer Sandagers kommentarer

Vi anbefaler, at virksomheder indretter sine processer for offentliggørelse af billeder på en måde, så virksomhederne i højere grad end tidligere foretager en konkret vurdering af, om et billede kan offentliggøres uden samtykke eller ej. Virksomhederne kan i denne vurdering læne sig op ad de kriterier og eksempler, Datatilsynet er kommet med, men der vil selvsagt være situationer fra tid til anden, der falder uden for de kendte eksempler, og hvor virksomheden derfor må foretage en konkret interesseafvejning.

Virksomhederne bør også, som en del af de generelle krav efter GDPR, sikre sig, at virksomhederne opfylder deres oplysningsforpligtelser over for de personer, hvis billeder offentliggøres, herunder hvad formålet med offentliggørelsen er.

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne i forhold til billeder på de sociale medier og internettet, er du velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og databeskyttelse advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.