GDPR & billeder
De fleste arbejdspladser – virksomheder, organisationer eller offentlige arbejdspladser – bruger billeder af medarbejdere, kunder, borgere, mv. som en del af sit arbejde. Alle har et kamera i lommen, og med et par klik, så kan et billede blive delt via sociale medier, hjemmeside, i en mail, etc.
På en arbejdsplads må man oftest gerne behandle billeder af medarbejderne, hvis brugen af disse billeder giver mening i forhold til arbejdets udførelse.
Indhold
Er et billede en personoplysning?
Oplysninger der kan henføres til en person er ‘personoplysninger’.
Hvis man kan identificere en person med udgangspunkt i et billede, så er dette en personhenførbar oplysning.
Hvis du behandler personoplysninger om dine medarbejdere fx offentliggører portrætbilleder på hjemmesiden, så er virksomheden dataansvarlig for denne behandling. Derfor skal du have hjemmel i GDPR til dette.
I resten af artiklen gennemgåes forskellige scenarier, hvor en arbejdsgiver behandler billeder af medarbejderne.
Situationsbilleder versus portrætbilleder
Der er overordnet 2 kategorier af billeder med mennesker; situationsbilleder og portrætbilleder.
Portrætbilleder indeholder typisk kun 1 person, hvor vedkommende kigger direkte ind i kameraet, og er derfor let at identificere. Formål med dette, er at tage et genkendeligt billede af personen på billedet.
Situationsbilleder indeholder flere mennesker, og billedet er typisk taget uden, at menneskene på billedet har været opmærksomme på fotografen. Formål er at indfange “situationen”, som menneskene indgår i.
Med moderne software (fx Facebook), så kan ansigter også genkendes på situationsbilleder, hvilket gøre det lige let at identificere menneskene på situationsbilleder og portrætbilleder.
Billeder med medarbejdere
Arbejdsgiveren kan have gode grunde til at behandle billeder af sine medarbejdere.
Derfor kan en privat arbejdsgiver ofte bruge artikel 6, stk. 2. litra f) “legitim interesse”, som hjemmel til sin behandling. En offentlig arbejdsgiver kan ofte bruge artikel 6, stk. 2. litra e) “Offentlig myndighedsudøvelse” som hjemmel til sin behandling.
Herudover, så kan man også anvende artikel 6, stk. 2. litra a) “samtykke”, som hjemmel til sin behandling af medarbejderbillederne. I mange tilfælde er det uhensigtsmæssigt at basere sin behandling af billederne på et samtykke, da et samtykke skal efterleve nogle meget specifikke krav førend, at det er gyldigt. Et samtykke kan desuden altid tilbagetrækkes.
Billeder på intranettet
På større arbejdspladser med 50+ ansatte, så kan det hurtigt blive vanskeligt at huske navne og ansigter på alle sine kollegaer, samt hvad deres rolle er i virksomheden. Derfor bruges der ofte portrætbilleder af virksomhedens medarbejdere på intranettet, så medarbejderne nemt kan identificere den person i virksomheden, som de skal kontakte.
Hjemlen til at behandle disse oplysninger på intranettet vil typisk være artikel 6, stk. 2. litra f) “legitim interesse”. Arbejdsgiveren har en legitim interesse i at behandle portrætbilleder af medarbejderne på intranettet, så kommunikationen i virksomheden fungerer optimalt mellem medarbejderne.
Portrætbilleder på hjemmesiden
Mange virksomheder har en oversigt med kontaktoplysninger og portrætbilleder af medarbejdere på hjemmesiden. Dette gør det lettere for virksomhedens kunder og øvrige interessenter at vide hvem de kommunikerer med.
Arbejdsgiveren har mulighed for at offentliggøre arbejdsrelaterede oplysninger om de an- satte på sin hjemmeside f.eks. navne, arbejdsområder og kontaktoplysninger med hjemmel i artikel 6, stk. 2, litra f) “legitim interesse”. Dette gælder dog ikke billeder af medarbejderne.
Hvis du ønsker at offentliggøre et billede af medarbejderne, så skal du have samtykke til dette.
I nogle tilfælde vil der formentlig kunne offentliggøres billeder af medarbejdere uden brug af samtykke, hvis medarbejderne udfører et arbejde, hvor det må forventes, at de repræsenterer virksomheden udadtil fx direktøren i en virksomhed.
Billeder på sociale medier
Det er normalt at bruge billeder af sine medarbejdere på de sociale medier.
Denne offentliggørelse på de sociale medier skal man dog have samtykke til fra medarbejderen. Du kan som udgangspunkt ikke uploade billeder af dine medarbejdere til fx LinkedIn, Facebook eller hjemmesiden, hvis du ikke har fået medarbejdernes samtykke til dette.
Billeder af ansatte i markedsførings-materiale
Hvis en arbejdsgiver bruger billeder af ansatte i materiale, der f.eks. anvendes til markedsføring, så skal der som udgangspunkt gives samtykke til dette.
Hvis medarbejderen ønsker at tilbagetrække sit samtykke til brugen af et billede, så kan du ikke fremadrettet bruge dette billede i fx markedsføringsmateriale. Det betyder, at du skal fjerne dette billede fra alle de medier, hvoraf billedet fremgår.
I nogle tilfælde vil der potentielt være mulighed for, at man kan offentliggøre billeder af medarbejderen uden brug af samtykke, hvis det må anses som en arbejdsbetingelse, at der sker offentliggørelse af medarbejderens billeder fx direktør eller kommunikationsansat, der begge må forventes at tage aktivt del i promoveringen af virksomheden. I dette tilfælde vil behandlingen kunne ske med hjemmel i artikel 6, stk. 1. litra f.
Billeder til dokumentation
Billeder bruges ofte til dokumentation af korrekt udført arbejde eller lignende, og her kan der indgå personer, hvilket vil gøre det til en behandling af personoplysninger.
Hvis du kan tage billedet uden personer på billedet, så vil dette lette dit arbejde en smule, da du her vil undgå behandling af personoplysninger.
I de fleste situationer vil det være legitimt at tage et billede, som dokumentation, og derfor kan du behandle billedet med udgangspunkt i de krav, som du har til at dokumentere et korrekt udført arbejde.
Billeder af afslørende situationer
Nogle billeder bør ikke deles. Det giver næsten sig selv, at man ikke bør dele et billede med personer, som herved kan føle sig udstillet. Hvis du alligevel mener, at dette billede bør deles, så bør du have et samtykke fra personerne på billedet.
Billeder af børn
Når der behandles billeder af børn, så skal der naturligvis tages særligt hensyn til, at de er mindre bevidste om risici og konsekvenser forbundet med behandlingen af deres billeder.
Børn kan selv give samtykke til behandlingen af billeder når de er 15 år, men du bør stadig overveje om denne alder er tilstrækkelig taget i betragtning af den specifikke behandling fx billedets karakter og risiciene for den unge herved.
Billeder og følsomme personoplysninger
Et billede kan også være en følsom personoplysning, hvis det fx illustrerer en helbredsoplysning af en person på hospitalet eller hos lægen. Du skal være særligt opmærksom på om du må behandle billedet i dette tilfælde. Du skal overveje hvad dit grundlag kan være for at behandle denne følsomme personoplysning uden samtykke. Alternativt, så skal du have vedkommendes samtykke til at behandle billedet.
Fjernelse af billeder
Hvis en person på et offentliggjort billede ønsker billedet fjernet fra fx hjemmesiden, så bør du følge dette ønske med mindre, at du har et meget klart og legitimt formål med at forsætte behandlingen. Hvis din hjemmel til at behandle billedet sker med udgangspunkt i vedkommendes samtykke, så skal du fjerne billedet når samtykket tilbagetrækkes.
Man må kun behandle billederne sålænge, at der er et formål med dette. Når formålet med behandlingen af billederne ophører, så bør de fjernes og slettes.