Når regnes et bilde som personopplysninger?

Når regnes et bilde som personopplysninger?

Å forstå når regnes et bilde som personopplysninger er avgjørende for å overholde personvernkrav ved publisering. Feil håndtering av identifiserbare bilder medfører risiko for brudd på privatlivets fred. Ved å sette seg inn i gjeldende regler beskytter man individers rettigheter og sikrer at bildebruk skjer på en trygg og lovlig måte.

Når regnes et bilde som personopplysninger?

Et bilde regnes som en personopplysning så snart personen på bildet kan identifiseres, enten direkte eller indirekte. Dette er en fundamental del av personvernforordningen (GDPR), som beskytter individets rett til privatliv og kontroll over egen informasjon. ^[2]

Kort sagt: Kan du se hvem det er? Da er bildet en personopplysning. Dette gjelder alt fra vanlige mobilbilder til profesjonell videoproduksjon.

Direkte vs. indirekte identifikasjon

Direkte identifikasjon er det de fleste tenker på; ansiktstrekk, øyne og kroppsspråk gjør at du umiddelbart ser hvem personen er. Dette er den enkleste formen for identifisering.

Direkte vs indirekte identifikasjon bilde er ofte kjernen i vurderingen. Selv om ansiktet er sladdet eller bildet tatt på avstand, kan personen fortsatt identifiseres gjennom kontekstuelle spor. Dette kan være unike tatoveringer, klær, eller at bildet er tatt under en spesifikk hendelse der personen er den eneste som passer beskrivelsen.

Kombinasjon av data

Et bilde som virker anonymt i utgangspunktet, kan endre status hvis det kombineres med annen informasjon. Hvis bildet har en bildetekst som nevner navn, arbeidssted eller en spesifikk tittel, blir det automatisk en personopplysning.

I min erfaring med personvern, er det nettopp denne kombinasjonseffekten mange glemmer. Man tror at siden bildet isolert sett er uklart, er man trygg. Men konteksten er ofte nøkkelen.

Hva innebærer det at et bilde er en personopplysning?

At et bilde klassifiseres som en personopplysning betyr ikke at det er forbudt å ta det. Det betyr derimot at du som behandlingsansvarlig må forholde deg til et sett med regler for hvordan informasjonen håndteres.

Krav til behandlingsgrunnlag

For å kunne publisere eller lagre bilder av identifiserbare personer på bilde, må du ha et lovlig behandlingsgrunnlag. Typisk skjer dette gjennom samtykke til bildebruk, der personen har gitt en klar og frivillig tillatelse til bruken.

I noen tilfeller kan man bruke berettiget interesse, men dette krever en nøye vurdering der personens rettigheter veies opp mot virksomhetens behov. Dette er ofte en hårfin balansegang.

Vanlige utfordringer ved bildedeling

Den største feilen mange gjør, er å undervurdere behovet for sletting. Personvernreglene tilsier at du ikke skal lagre personopplysninger lenger enn nødvendig for formålet.

Mange bedrifter har arkiver fulle av gamle bilder fra events for 5-10 år siden. Er de nødvendige? Sannsynligvis ikke. Her bør man rydde jevnlig for å unngå potensielle brudd på GDPR regler bildebruk.

Identifikasjon av bilde som personopplysning

Direkte identifikasjon

• Ansikt, øyne og tydelige trekk
• Alltid personopplysning

Indirekte identifikasjon

• Tatoveringer, kontekst, sladdede bilder
• Personopplysning ved gjenkjennelse

Kombinert identifikasjon

• Bilde + navn eller bildetekst
• Alltid personopplysning

Håndtering av eventbilder i en lokal bedrift

En lokal klesbutikk i Trondheim tok bilder under et moteshow for å markedsføre den nye kolleksjonen på Facebook. De var nøye med å få signert samtykkeskjemaer fra alle modellene.

Utfordringen oppstod da de i bakgrunnen av bildene fanget opp flere publikummere som ikke hadde gitt samtykke. Butikken trodde at så lenge modellene var godkjent, var alt i orden.

De innså feilen da en kunde tok kontakt og krevde å få bildet slettet. Butikken måtte gå gjennom hundrevis av bilder og manuelt sladde ansiktene til alle de ikke hadde avtale med.

Lærdommen ble å bruke en fotograf som fokuserte kun på modellene, og å alltid opplyse tydelig med skilting om bildebruk på arrangementer.