webinar 5. juni 2020 personoplysninger i billeder · 2020-06-08 · udvalgte referencer. title:...
TRANSCRIPT
www.complycloud.com
Webinar 5. juni 2020
Personoplysninger i billeder
Husk at slå din mikrofon og kamera fra
2
Tobias Løager Andersen & Laura Kring Mortensen
Advokatfuldmægtige
Erfaring
• Advokatfuldmægtige
• Speciale i persondataret
• Erfaring med +60 GDPR-projekter og
implementeringer
Specialer
• GDPR og compliance-programmer
• It-ret og kommercielle kontrakter
www.complycloud.com
www.complycloud.com 3
Konkrete eksempler på brug af billeder 3
4 Q&A og afslutning
1 Introduktion til personoplysninger og billeder
2 Det rigtige behandlingsgrundlag
www.complycloud.com 4
Konkrete eksempler på brug af billeder 3
4 Q&A og afslutning
1 Introduktion til personoplysninger og billeder
2 Det rigtige behandlingsgrundlag
www.complycloud.com 5
• Billeder kan indeholde personoplysninger, hvis der på billedet er
oplysninger, som kan henføres til en fysisk person.
• Hverken GDPR eller databeskyttelsesloven indeholder særregler
for behandling af personoplysninger i billeder.
• Behandling af personoplysninger i billeder forudsætter
overholdelse af databeskyttelsesretten på lige fod med andre
medier, der måtte indeholde personoplysninger, herunder
behandlingsgrundlag.
www.complycloud.com 6
• Datatilsynet sondrer ikke længere mellem situations- og
portrætbilleder.
• Billedets karakter som portrætbillede eller situationsbillede bør dog
stadig bruges som argument i den konkrete vurdering, når der skal
”vælges” behandlingsgrundlag.
www.complycloud.com 7
• Indeholder dette billede personoplysninger?
• Ja, for billedet er henførbart til en fysisk person – også selvom det
ikke er enhver, der vil kunne genkende personen på billedet.
www.complycloud.com 8
• Indeholder disse billeder ”følsomme personoplysninger” (de i loven
såkaldte særlige kategorier af personoplysninger) om personers
helbred?
• Som udgangspunkt nej, hvis billedet ikke i sig selv kan siges at
blive behandlet med henblik på at fastslå oplysninger om
helbredsoplysninger – dette er blot oplysninger, som vi ”får med”.
• Billederne har dog privat karakter og kan sige noget om
helbredsoplysninger, hvis de behandles med henblik på at fastslå
dette. Det vil derfor tælle med i den konkret vurdering og valg af
behandlingsgrundlag.
www.complycloud.com 9
Konkrete eksempler på brug af billeder 3
4 Q&A og afslutning
1 Introduktion til personoplysninger og billeder
2 Det rigtige behandlingsgrundlag
www.complycloud.com 10
Man skal jo have et lovligt behandlingsgrundlag for at være berettiget til at behandle billeder med personoplysninger i.
Mulige behandlingsgrundlag for billeder i praksis:
Samtykke
Kontrakt
Retlig forpligtelse
Legitime interesser
www.complycloud.com 11
✅Gyldigt samtykke kan rumme de fleste behandlinger
✅Gyldigt samtykke er tilstrækkeligt i langt de fleste tilfælde
✅Samtykke er relativt nemt at udarbejde
✅Samtykke kan stå alene
✅Samtykke involverer ikke andre parter end den registrerede
✅Samtykke kan fremgå sammen med eller i tillæg til kontrakt eller
andre vilkår
🚩Det kan i praksis ofte vise sig som en udfordring, at samtykket skal
være frivilligt
🚩Samtykke kan som udgangspunkt ikke gøres til betingelse for
kontrakt eller deltagelse i event
🚩Samtykke kan trækkes tilbage, og man skal derfor kunne slette
billeder umiddelbart herefter
Samtykke
Kontrakt
Retlig forpligtelse
Legitime interesser
www.complycloud.com 12
✅Det er nemt at dokumentere korrekt behandlingsgrundlag
✅Det er nemt at fastlægge opbevaringsfristerne – så længe
kontrakten skal opfyldes
🚩Der skal være en reel kontrakt med en ydelse og en modydelse
🚩Behandlingen af billedet skal reelt være nødvendig for at opfylde
kontrakten
🚩For medarbejdere er kontrakt som udgangspunkt det forkerte
behandlingsgrundlag for billeder (mere senere)
💋Model-afgørelsen (J.nr. 2018-31-0118)
Samtykke
Kontrakt
Retlig forpligtelse
Legitime interesser
www.complycloud.com 13
✅Det nemmeste er jo, hvis man er forpligtet til at behandle et billede
– så behøver man ikke overveje for og imod
🚩Der skal være en reel retlig forpligtelse, og forpligtelsen skal kræve
behandling af billeder
🚩Det er ikke en retlig forpligtelse, blot fordi det står i en kontrakt,
som virksomheden er part i
🚩Opbevaring må kun ske så længe, den retlige forpligtelse kræver
det eller kan forsvare opbevaring
🎫Behandling af billeder til hvidvask-procedurer (behandling af
billede-ID)
🎫Krav om billedlegitimation ved indgang til faciliteter fra lovpligtige
sikkerhedsforanstaltninger (Politiet, lufthavnen osv.)
Samtykke
Kontrakt
Retlig forpligtelse
Legitime interesser
www.complycloud.com 14
✅Legitime interesser er det mest ”smidige” behandlingsgrundlag,
fordi behandlingens formål og opbevaringsfrister kan tilpasses
virksomhedens behov, så disse udgør legitime interesser, der vejer
tungere end hensynet til de registrerede personer
🚩Datatilsynet er restriktive i deres fortolkning af, hvad der kan være
krænkende
🚩Behandlingsgrundlaget kan kun anvendes af private virksomheder
🎯Markedsføring er eksempelvis anerkendt som en legitim interesse,
men der er formentlig en meget snæver adgang til at bruge billeder
af personer til markedsføring under legitime interesser
🎸Koncertarrangører og –partnere kan efter Datatilsynets udsagn
som udgangspunkt behandle billeder til koncerter under legitime
interesser
Tivoli-afgørelsen (J.nr. 2005-212-0299)
Samtykke
Kontrakt
Retlig forpligtelse
Legitime interesser
www.complycloud.com 15
Konkrete eksempler på brug af billeder 3
4 Q&A og afslutning
1 Introduktion til personoplysninger og billeder
2 Det rigtige behandlingsgrundlag
www.complycloud.com 16
Billeder af medarbejdere
• Billeder af medarbejdere på arbejde kan som udgangspunkt ikke offentliggøres uden medarbejdernes
samtykke
• Det betyder, at behandling af billeder af medarbejdere som udgangspunkt ikke kan rummes indenfor
databeskyttelseslovens § 12, stk. 1 og 2, hvorfor samtykke må anvendes efter stk. 3.
• Offentliggørelse kan både betyde ”www” og et intranet og internt materiale – her kræves en konkret vurdering
af offentliggørelsen
www.complycloud.com 17
Markedsføringskampagner
• Behandlingsgrundlaget vil afhænge af persongruppen af
registrerede, der behandles billeder om.
• Selvom markedsføring i visse tilfælde er en anerkendt legitim
interesse, vil virksomhedens legitime markedsføringsinteresser
som altovervejende hovedregel ikke veje tungere end
hensynene til den registreredes interesser, når vi taler billeder.
• Behandlingsgrundlaget vil derfor ofte stå mellem samtykke og
kontrakt.
• For billeder taget på større events og brug af disse til
markedsføring – dette behandles mere senere
www.complycloud.com 18
Social Media
• Brug af sociale medier vil blive anset meget lig med markedsføring
• Behandlingsgrundlaget i praksis er derfor enten samtykke eller
kontrakt
www.complycloud.com 19
Events
• Samtykke kan ofte ikke bruges, fordi man i så fald vil skulle betinge deltagelse med samtykke – og det går
ikke
• Behandling på baggrund af legitime interesser er det mest anvendte grundlag
• Datatilsynet giver selv eksemplet, at brug af billeder taget ved en rockkoncert ikke kræver samtykke
www.complycloud.com 20
Vores egen sag og eksempel: motionsløbet
www.complycloud.com 21
Konkrete eksempler på brug af billeder 3
4 Q&A og afslutning
1 Introduktion til personoplysninger og billeder
2 Det rigtige behandlingsgrundlag
www.complycloud.com 22
Vi udgiver vores samlede Casebook mandag den 8. juni.
Hvis I ikke allerede har tilmeldt jer til at modtage den, kan I gøre det her:
https://complycloud.com/casebook/
www.complycloud.com 23
Tak for jeres tid.
Vi prøver hele tiden at blive bedre, så vi håber, at I vil bruge 2 minutter påat besvare et spørgsmål, som I modtager på e-mail efter webinaret.
Udvalgte referencer