Billeder og GDPR – hvilke regler gælder på internettet?

Datatilsynet har netop ændret sin praksis i forhold til offentliggørelse af billeder på internettet. Lund Elmer Sandager ser i denne artikel nærmere på betydningen af Datatilsynets ændrede praksis.
Nyhed
GDPR

Databeskyttelsesreglerne gælder også for virksomheders offentliggørelse af oplysninger om identificerbare personer på internettet. Det gælder f.eks. offentliggørelse af billeder af ansatte på virksomhedens hjemmeside eller på sociale medier. Det kan dog også være billeder, der bliver taget i forbindelse med sociale eller faglige arrangementer, som virksomheden afholder.

Afgrænsning mellem situations- og portrætbilleder

Datatilsynet har hidtil skelnet mellem to forskellige typer af billeder, nemlig portrætbilleder og de såkaldte situationsbilleder.

  • Situationsbilleder har typisk til formål at vise en gruppe af personer i en bestemt situation – det kan f.eks. være deltagere til et socialt eller fagligt arrangement.
  • Portrætbilleder har typisk til formål at profilere en eller flere bestemte personer – det kan f.eks. være en medarbejderprofil på virksomhedens hjemmeside.

Efter Datatilsynets hidtidige praksis har udgangspunktet været, at situationsbilleder som udgangspunkt ikke krævede samtykke (dog med visse undtagelser, herunder for situationsbilleder af medarbejdere), mens offentliggørelse af portrætbilleder som udgangspunkt altid krævede samtykke.

Datatilsynet har nu ændret sin praksis, så det i højere grad er en konkret vurdering, hvornår offentliggørelse af et billede kræver samtykke – det gælder både offentliggørelse af situationsbilleder og offentliggørelse af portrætbilleder.

Ved virksomhedens vurdering af, om der kan ske offentliggørelse af et billede, skal virksomheden bl.a. se på karakteren af billedet, herunder hvor og hvorfor billedet er taget, i hvilken sammenhæng billedet indgår, og hvad formålet med offentliggørelsen af billedet er. Det er afgørende, at de personer, der er på billedet, ikke med rimelighed kan føle sig udstillet, udnyttet eller krænket.

Er der tale om billeder med børn og unge, gælder en særlig beskyttelse, fordi børn og unge oftest er mindre bevidste om de risici og konsekvenser, der kan være forbundet med offentliggørelse af billeder.

Konkrete eksempler

Datatilsynet har sin i meddelelse om den ændrede praksis, som du kan finde her, oplistet en række konkrete eksempler på, hvor billeder som udgangspunkt kræver samtykke, og hvornår billeder som udgangspunkt kan offentliggøres uden samtykke.

Eksempler på billeder, der normalt ikke vil kunne offentliggøres uden samtykke:

  • Billeder af besøgende hos lægen, kunder i banken og i fitnesscentret eller lignende.
  • Billeder af besøgende på en bar, natklub, diskotek eller lignende.
  • Billeder af ansatte på arbejde i en privat virksomhed eller en offentlig myndighed

Eksempler på billeder, der som udgangspunkt kan offentliggøres uden samtykke:

  • Billeder af publikum til en koncert
  • Billeder af besøgende i en zoologisk have eller lignende
  • Billeder optaget under en fritidsklub eller forenings udfoldelse af aktiviteter

Lund Elmer Sandagers kommentarer

Vi anbefaler, at virksomheder indretter sine processer for offentliggørelse af billeder på en måde, så virksomhederne i højere grad end tidligere foretager en konkret vurdering af, om et billede kan offentliggøres uden samtykke eller ej. Virksomhederne kan i denne vurdering læne sig op ad de kriterier og eksempler, Datatilsynet er kommet med, men der vil selvsagt være situationer fra tid til anden, der falder uden for de kendte eksempler, og hvor virksomheden derfor må foretage en konkret interesseafvejning.

Virksomhederne bør også, som en del af de generelle krav efter GDPR, sikre sig, at virksomhederne opfylder deres oplysningsforpligtelser over for de personer, hvis billeder offentliggøres, herunder hvad formålet med offentliggørelsen er.

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne i forhold til billeder på de sociale medier og internettet, er du velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og databeskyttelse advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR