Er Det Lov Å Legge Ut Bilder Og Videoer På Nett Iht. GDPR?
By: Gillian LoonesGDPR | 7 desember
Share
Vi lever i en tid hvor det er blitt veldig vanlig å legge ut bilder og video på nett. Vi deler bilder og video av oss selv og andre rundt oss i diverse sosiale medier. I denne sammenhengen har også virksomheter et større fokus på å øke sin tilstedeværelse på sosiale medier for å bygge opp sin merkevare og kommunisere med sine kunder. Din virksomhet er sannsynligvis til stede i flere sosiale plattformer og det kan hende at dere legger ut bilder og video av ansatte. Ser man på dette i sammenheng med personvernforordningen/GDPR, er det et par ting man bør være oppmerksom på når man legger ut bilder og video på nett. I dette blogginnlegget diskuterer vi noen av de viktigste nyansene du bør vite.
Er bildene private eller jobbrelaterte?
Folk legger ut bilder og videoer på nett hele tiden, både som privatpersoner og som en del av deres profesjonelle eller frivillige forpliktelser.
Fra et organisasjonsperspektiv er det helt greit at ansatte legger ut private bilder og videoer av seg selv på nett, siden GDPR ikke gjelder privatpersoner alene.
Men når disse bildene tas i en jobbrelatert sammenheng, eller de blir publisert av organisasjonen din eller på vegne av den, da gjelder GDPR. Dette er fordi organisasjonen din fungerer som databehandlingsansvarlig for alle personopplysninger knyttet til organisasjonen.
Bilder og videoer av personer er per definisjon personlige opplysninger på lik linje med andre former for personlige data. Derfor må din organisasjon håndtere dem etter bestemmelsene i GDPR.
La oss for eksempel tenke på en ideell organisasjon som setter i gang en kampanje for å samle inn penger og for å øke kunnskapen om saken deres. Organisasjonen vil mest sannsynlig publisere ulike former for multimedia, som bilder og video for å skape oppmerksomhet om kampanjen. I denne forbindelse kan organisasjonen for eksempel legge ut bilder og videoer hvor ansatte eller frivillige jobber for organisasjonens sak. Disse bildene og videoene som jobber for organisasjonen er personopplysninger og derfor underlagt GDPR.
Når din organisasjon skal behandle personopplysninger, må du alltid ha et rettslig grunnlag for at behandlingen din skal være lovlig.
Forklart på en enkel måte, er et rettslig grunnlag for behandling av data i eksemplet ovenfor en tillatelse for deg som organisasjon til å publisere disse bildene og videoene.
Det er flere måter man kan skaffe seg denne tillatelsen på.For eksempel:
Med samtykke
Gjennom en kontrakt
For eksempel kan arbeidskontrakten du inngår med ansatte gi tillatelse til organisasjonen å bruke profilbilder av ansatte på sin “Om oss” side.
Legitim interesse
Hvis organisasjonen din ikke har noen formelle måter å skaffe seg et rettslig grunnlag for databehandling på, kan man likevel publisere et bilde eller video i noen tilfeller. Dette gjøres gjennom et rettslig grunnlag som heter enlegitim interesse. Helt konkret betyr dette at den som er med på bildet eller videoen ikke skal ha noen grunn til å føle seg utsatt, krenket eller på noen måte ukomfortabel når disse publiseres. Det er bare å spørre seg selv om personen på bildet eller videoen vil ha noen som helst grunn til å føle seg ukomfortabelt hvis dette ble publisert.
Hvis du er sikker på at det ikke finnes noen slike grunner, kan du fortsette og publisere bildene eller videoene.
Det er viktig at de ansatte som er ansvarlige for å legge ut bilder og videoer på nett (f.eks. de som er ansvarlige for sosiale medier eller markedsføring) er klar over begrepet legitim interesse og hvordan dette kan brukes. Hvis de er usikre på om de kan bruke legitim interesse for et bestemt bilde eller en video, bør de alltid be den ansvarlige for GDPR om hjelp.
Hvis vi går tilbake til eksemplet, kan legitim interesse fungere på følgende måte: Si at Sofie er sjef for organisasjonen. Hun har tatt noen bilder av Peter, som jobber frivillig for organisasjonen og forbereder et arrangement tilknyttet støttekampanjen. På et bilde henger Peter opp pynt i arrangementslokalet sammen med andre frivillige. Dersom Sofie mener at det er greit for Peter at man legger ut et slikt bilde på nettet, kan legitim interesse være et rettslig grunnlag i dette tilfellet.
Opplysningsplikt og innsigelsesrett
I teorien er det ikke behov for å be om tillatelse til å publisere et bilde eller en video når man bruker legitim interesse som rettslig grunnlag. Det finnes imidlertid en opplysningsplikt: du må informere de relevante personene om når og hvor bildene eller videoene vil bli publisert, for å gi dem muligheten til å motsette seg at materialet blir publisert.
Forskjellige mennesker har selvfølgelig forskjellige grenser for når de føler seg ukomfortable med et bilde eller en video som blir publisert. Derfor er det best å bare be om tillatelse til å publisere bildet eller videoen. På denne måten har vedkommende en enkel mulighet til å protestere, og du forhindrer ubehagelige overraskelser på begge sider.
Igjen, relevante personer i organisasjonen din må være klar over denne opplysningsplikten, slik at den alltid brukes riktig når du arbeider med bilder eller videoer.
La oss se på eksemplet vårt på nytt. Sofie er ikke sikker på om Peter er komfortabel med at et bilde av han blir lagt på Instagram-kontoen til organisasjonen. Derfor henvender Sofie seg til Peter for å spørre om tillatelse og det viser seg faktisk at Peter ikke er så komfortabel med det. Dermed passer Sofie på at Peter ikke er på bildene som hun publiserer på Instagram.
Legitim interesse er ikke godt nok for sensitive personopplysninger
Siden de blir betraktet som personlige data, kan bilder og videoer sees på både som generelle og sensitive personopplysninger.
Eksempler på sensitive personopplysninger er:
Rase eller etnisitet
Politiske meninger
Religiøs eller filosofisk tro
Helseopplysninger
Seksuelle forhold og/eller orientering
Fagforeningsmedlemskap
For eksempel kan bilder av ansatte tatt på et sykehus, på et politisk møte eller i en kirke klassifiseres som sensitive personopplysninger og må håndteres nøyere. I dette tilfellet er legitim interesse ikke et lovlig grunnlag, og du må finne en annen måte å skaffe deg tillatelse på, for eksempel gjennom samtykke.
La oss, for siste gang, gå tilbake til eksemplet vårt med den ideelle organissajonen. Tenk deg at denne organisasjonen skal arrangere et møte for en politisk eller religøs sak. I dette tilfellet vil en publisering av et bilde hvor Peter pynter på møtelokalet før arrangementet avsløre Peters politiske eller religiøse tro. Dette er sensitive personopplysninger som Peter kanskje ikke vil skal publiseres. Derfor må Sofie finne et annet rettslig grunnlag dersom hun ønsker å publisere bilder av Peter.
Ansatte bør være oppmerksomme på rettslig grunnlag
De som har ansvaret for organisasjonens sider på sosiale medier innser kanskje ikke alltid at ikke alle er like komfortable som de selv er med å ha ansiktet sitt på nett. Derfor er det en god idé å gjøre de ansatte oppmerksomme på dette, slik at de forstår og kan bruke GDPR-reglene.
Kort sagt er det ganske viktig å skape bevissthet i organisasjonen din om at, ja, bilder og videoer er personlige data, og ja, det er alltid best å be om tillatelse fra de aktuelle personene og finne ut om de er komfortable med at bildet eller videoen blir publisert. Til slutt må de ansatte alltid huske på de strengere reglene om sensitive personopplysninger. Og dersom de er i tvil, bør de alltid konsultere databeskyttelsesansvarlig eller personen som er ansvarlig for GDPR i organisasjonen.
For å skape en bedre oversikt over disse foreslåtte retningslinjene, har vi laget et enkelt flytskjema som du eller dine ansatte kan bruke når du vurderer å publisere bilder eller videoer.
Skjemaet gir dine ansatte en rask oversikt over reglene for publisering av bilder og video. Vi håper at du synes dette er nyttig, og at du kanskje har lært noe i dette blogginnlegget.
Meld deg på vårt nyhetsbrevKom i lag med våre 4000+ abonnenter og meld deg på nyhetsbrevet vårt.
Du vil motta inspirasjonsmateriale, verktøy og historier om gode praksiser om cybersikkerhet og personvern rett i din innboks. Vanligvis sender vi nyhetsbrevet en gang i måneden.