Journalnummer: 2019-431-0052
Resumé
Den 17. januar 2020 besluttede Datatilsynet, at undersøge offentliggørelsen af billeder på Epic Bookings facebookside (https://www.facebook.com/pg/EPICBooking/photos/?tab=albums). Datatilsynet vender hermed tilbage til sagen.
Et omfattende antal billeder – knap 500.000 – af navnlig børn og unge var at finde på virksomhedens Facebookside. Billederne, som var fra 2013 og frem, var taget til fester og lignende arrangementer primært ved brug af selfiekamera.
Datatilsynet fandt i sagen, at det samtykke, som personerne på billederne havde givet, ikke i tilstrækkelig grad levede op til kravene om, at et samtykke skal være informeret, specifikt og frivilligt. Derudover fandt Datatilsynet, at det var i strid med princippet om opbevaringsbegrænsning, at Epic Booking ikke havde fastsat en konkret slettefrist.
Efter Datatilsynet vurdering skal der ved fastsættelse af slettefrister tages hensyn til de afbillede personer og den særlige beskyttelse, som børn og unge nyder efter databeskyttelsesreglerne. Tilsynet gav derfor Epic Booking et påbud om at fastsætte en slettefrist på maksimalt 60 dage for billeder, der fremover offentliggøres på virksomhedens Facebookside.
1. Afgørelse
Datatilsynet finder – efter at sagen har været behandlet på et møde i Datarådet – at, der er grundlag for at udtale alvorlig kritik af, at Epic Bookings behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e, samt artikel 6, stk. 1, jf. artikel 4, nr. 11.
Datatilsynet finder yderligere grundlag for at udtale alvorlig kritik af, at Epic Booking ikke har iagttaget pligten til at underrette registrerede efter databeskyttelsesforordningens artikel 13.
2. Påbud
2.1.
Datatilsynet meddeler endvidere Epic Booking påbud om at slette alle billeder fra Epic Bookings facebookside, som er behandlet uden gyldigt samtykke fra de registrerede.
2.2.
Yderligere meddeler Datatilsynet Epic Booking påbud om at fastsætte en generel frist på maksimalt 60 dage for sletning af billeder, som fremover offentliggøres af Epic Booking på Epic Bookings facebookside.
Påbuddene meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddene er 3 uger fra dags dato.
Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddene er efterlevet.
Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
3. Sagsfremstilling
På baggrund af en henvendelse om offentliggørelsen af billeder på Epic Bookings facebookside blev Datatilsynet opmærksom på, at et meget stort antal billeder – knap 500.000 – af navnlig børn og unge var offentliggjort på virksomhedens facebookside. Billederne var taget til fester og lignende arrangementer siden 2013 primært ved brug af et selfiekamera.
Datatilsynet har ved brev af 17. januar 2020 stillet Epic Booking en række spørgsmål til brug for tilsynets behandling af sagen.
Den 12. februar 2020 besvarede Advodan Aalborg Advokataktieselskab (herefter Advodan) på vegne af Epic Booking tilsynets henvendelse og indsendte bl.a. kopi af den oplysningstekst, som opsættes i en nærmere afgrænset zone ved og foran selfiekameraet.
Følgende fremgår af oplysningsteksten:
”Billederne kommer på Facebook! Ved at trykke gem /eller vente 5 sek. efter billedet er taget (auto gem), giver du samtidig lov til at EPIC Booking, må ligge billedet på deres offentligt tilgængelige Facebook side. Du kan til en hver tid fortryde, og bede om at få et billede slettet fra Facebook, dette sker ved at sende linket til billedet, i en besked til EPIC Booking’s Facebook side. Så slettes det med det samme. Er du i tvivl om hvordan du gør, skal du blot kontakte EPIC Booking i en besked på Facebook, så skal de nok være behjælpelige, samt guide dig. *Billeder af bare numser, -bryster og des lige sorteres fra, jf. EPIC Bookings politikker, der KAN dog ske menneskelige fejl, og billeder kan derfor risikere, at blive uploadet alligevel, derfor opfordres det kraftigt til helt, at lade være med disse billeder!”
Ved brev af 24. juni 2010 anmodede Datatilsynet Epic Booking om at besvare en række yderligere spørgsmål, herunder om mulighederne for at tilbagekalde et samtykke til offentliggørelsen og om fristen for sletning af billeder på virksomhedens facebookside.
Advodan besvarede spørgsmålene i en supplerende udtalelse af 6. juli 2020.
Sagen blev drøftet på et møde i Datarådet den 17. december 2020.
3.1. Epic Bookings bemærkninger
Advodan har bekræftet, at Epic Booking er dataansvarlig for behandlingen af oplysninger på facebooksiden https://www.facebook.com/pg/EPICBooking/photos/?tab=albums.
Behandlingsgrundlaget
Den mobile selfieboks (epiCAM) er en del af Epic Bookings ydelser og dermed produktportefølje, som kunderne efterspørger selfieboksen med stor interesse. Det er væsentligt for virksomhedens forretningsmodel, at billeder fra diverse arrangementer lægges op på facebooksiden. Selve eksponeringen, der opnås ved, at de deltagende ”tagger” hinanden og deler billederne fra facebooksiden, er af afgørende markedsføringsmæssig betydning. De drifts- og markedsføringsmæssige begrundelser udgør utvivlsomt saglige hensyn.
Om behandlingsgrundlaget har Advodan henvist til databeskyttelsesforordningens artikel 6, stk. 1, litra a, om samtykke. Behandling af billeder fra et arrangement kan imidlertid også være nødvendig af hensyn til opfyldelse af en kontrakt, f.eks. i de tilfælde hvor en skole indgår en kontrakt med virksomheden om afholdelse af en fest med et mobildiskotek og samtidig aftaler, at der skal opstilles en selfieboks som en del af ydelsen, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra b.
Ved enhver ibrugtagning af selfieboksen til et arrangement sørger Epic Booking for opsætning af et skilt i A4 størrelse, som indeholder informationsteksten, hvor Epic Booking gør gæsterne opmærksomme på fremgangsmåden ved brug af selfiekameraet.
Det fremgår af informationsteksten, at den registrerede alene kan afgive samtykke til behandlingen af personoplysninger, hvis denne ved en aktiv handling vælger at lade sig og/eller andre fotografere ved selfieboksen. I forbindelse med et arrangements opstart oplyses det over højttalere, at der er et selfiekamera i lokalet, og at en kameramand vil være til stede under arrangementet. Kameramanden beder endvidere om samtykke, før der tages billeder, og er instrueret i, at der ud over et positivt samtykke alene tages billeder af gæster, der stiller sig op til det. I forbindelse med alle arrangementers afslutning oplyses det igen over højttalere, hvordan fremgangsmåden er omkring fotos, og hvor man skal henvende sig, hvis man ønsker fotos slettet efterfølgende.
Den aktive handling fra den registreredes side bevirker, at der er tale om et utvetydigt og gyldigt samtykke. Samtidig fremstår viljetilkendegivelsen som frivillig og specifik fra den registreredes side, idet personen ved at tage billeder, udvælge og trykke ”gem” af et billede, derved foretager en aktiv og frivillig handling. Måden, hvorpå samtykket afgives, er specifik, konkret og simpel for den registrerede. Viljetilkendegivelsen fra den registrerede sker alene på baggrund af den information, som deltagerne i et arrangement klart og tydeligt kan se på skiltet, som indeholder samtykketeksten.
Det er Epic Bookings opfattelse, at virksomheden kan påvise et udtrykkeligt samtykke for så vidt angår de billeder, der tages med epiCAM. Samtykket er sikret ved ophængning af skilte, hvoraf det fremgår, at der ved brug af selfieboksen afgives et udtrykkeligt samtykke. Endvidere udgør brugerens tryk ”gem” dokumentation for samtykket. Ved særlige lejligheder har Epic Booking på forhånd indhentet skriftlige samtykkeerklæringer.
Det er korrekt, at et billede automatisk gemmes efter fem sekunder, hvis billedet ikke er gemt ved tryk på knappen ”gem”. Formålet med den automatiske gemmefunktion er at sikre en god brugeroplevelse. Det er Epic Bookings erfaring, at festdeltagere tidligere lod selfieboksen stå uden at trykke gem, hvilket betød, at andre ikke kunne benytte selfieboksen, da der var et åbent billede. Derudover var brugerne tidligere af den opfattelse, at billederne blev automatisk gemt, og blev utilfredse, når det viste sig ikke at være tilfældet. Det er i øvrigt almindelig praksis i branchen, at selfiebokse automatisk gemmer billeder.
Epic Booking har undersøgt mulighederne for omprogrammering af selfieboksen, således at billederne alene gemmes, hvis den fotograferede selv aktivt trykker ”gem”. Tidligere programmeringer har kostet næsten 50.000 kr.
Epic Booking står til rådighed, hvis en registreret ønsker at tilbagekalde sit samtykke. Den registrerede kan således tilbagekalde sit samtykke ved enhver form for kontakt til Epic Booking. Herefter hjælper virksomheden med at finde de billeder, som ønskes slettet. Den registrerede kan også tilbagekalde sit samtykke ved at anmode om, at alle billeder af den pågældende slettes uden at linke til specifikke billeder. Det sker ved, at Epic Booking i samarbejde med den registrerede identificerer mulige billeder af den pågældende. Hvis et sådant samarbejde ikke er muligt, kontakter Epic Booking et evt. festudvalg med information om eventuel sletning af hele fotoalbummet eller med henblik på at finde andre løsninger.
Oplysningspligten
Vedrørende Epic Bookings iagttagelse af oplysningspligten har Advodan henvist til den fremsendte oplysningstekst, som de registrerede modtager forinden, at de afgiver samtykke fotografering.
Oplysningsteksten indeholder en utvetydig tilkendegivelse fra Epic Booking om, hvordan billederne anvendes til saglige formål. Derudover fremgår også oplysninger om muligheden for sletning af billederne, og hvordan den registrerede kan gøre indsigelse. På baggrund heraf er oplysningspligten efter databeskyttelsesforordningens artikel 13 og artikel 14 opfyldt.
Sletning
Epic Booking ikke har fastsat slettefrister for sletning af billeder på facebooksiden. Det skyldes, at virksomhedens kunder efterspørger fortsat opbevaring af billederne, som udgør minder fra et givent arrangement. Advodan har i den forbindelse anført, at tidligere deltagere ofte ”tagger” hinanden i flere år gamle billeder, hvorfor den fortsatte opbevaring er saglig og forretningsmæssigt begrundet.
Hvis Epic Booking fastsatte en slettefrist, ville dette ske til stor forargelse til følge for kunderne, og det ville i værste fald have negativ indvirkning på kundens valg af Epic Booking som mobildiskotek, da hovedparten af andre virksomheder i branchen opbevarer billeder for bestandig.
Ved enhver forespørgsel fra en registreret sletter Epic Booking straks opbevarede fotos, og det fremgår tydeligt ved hver facebookopslag, at sletning kan ske, og hvordan den registrerede kan henvende sig til Epic Booking herom.
Beskyttelse af børn
Advodan har oplyst, at Epic Booking ikke behandler oplysninger om børn i folkeskolealderen, idet det følger af virksomhedens politik, at der ikke tages billeder til folkeskolearrangementer. De yngste børn, der behandles oplysninger om, er 14 år og er typisk efterskoleelever.
Forud for et arrangement med f.eks. fotografering har Epic Booking over for børn anvendt enten en samtykkeerklæring eller klare mundtlige aftaler både med børnene og deres forældre.
Epic Booking stræber efter at være så grundig som mulig i informationsprocessen om behandling af personoplysninger. Det sikres altid og især ved børn og unge, at de deltagende forstår konceptet og er indforstået med, hvad behandlingen af billeder og lignende har af virkninger. Epic Booking vejleder både før, under og efter arrangementerne i form af bl.a. mundtlige oplysninger via mobildiskotekets højttalere.
4. Begrundelse for Datatilsynets afgørelse
Offentliggørelse af billeder af identificerbare personer på internettet, herunder på sociale medier, anses som en behandling af personoplysninger omfattet af databeskyttelsesreglerne.
4.1. Det retlige grundlag for behandlingen
4.1.1.
Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra a, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Af databeskyttelsesforordningens artikel 4, nr. 11, fremgår det, at der ved et samtykke forstås enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.
Databeskyttelsesrådet (EDPB) har vedtaget retningslinjer om samtykke, hvor forståelsen af forordningens definition af et samtykke er beskrevet.
Ifølge EDPB’s retningslinjer indebærer kravet om frivillighed, at den registrerede har et reelt og frit valg. Der foreligger en frivillig viljestilkendegivelse, hvis følgende fire kriterier er opfyldt: i) den registrerede skal frit kunne vælge, hvilke formål deres gives samtykke til (granularitet), ii) den registrerede skal kunne afvise at give eller tilbagetrække sit samtykke uden, at det er til skade for den pågældende, iii) opfyldelse af en kontrakt må ikke gøres betinget af et samtykke til behandling af personoplysninger, som ikke er nødvendig for kontraktens opfyldelse, og iv) der må ikke være en klar skævhed (et ulige forhold) mellem den registrerede og den dataansvarlige.
Endvidere følger det af præambelbetragtning nr. 32 til databeskyttelsesforordningen, at:
”Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandlingen tjener flere formål, bør der gives samtykke til dem alle”.
I præambelbetragtning nr. 43 er følgende anført:
”Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selvom det er hensigtsmæssigt i det enkelte tilfælde […].”
4.1.2.
Datatilsynet lægger på baggrund af Epic Bookings informationstekst til grund, at behandlingen, herunder offentliggørelsen, af oplysninger i form af billeder, sker på grundlag af samtykke. Endvidere lægger Datatilsynet til grund, at den information, der gives i forbindelse med optagelse af billeder, herunder ved optagelse af billeder i selfieboksene, indgår i grundlaget for indhentelse af samtykke fra de registrerede.
Det fremgår af sagens oplysninger, at Epic Booking behandler oplysningerne til flere formål, herunder til drifts- og forretningsmæssige formål (f.eks. salg af billeder) samt til brug for markedsføring over for nye kunder.
Datatilsynet finder, at Epic Bookings offentliggørelse af billeder på virksomhedens Facebook-side er i strid med databeskyttelsesforordningens artikel 6, stk. 1, litra a, da der ikke er indhentet et gyldigt samtykke fra de registrerede, jf. artikel 4, nr. 11.
Datatilsynet har herved lagt vægt på, at de registrerede på tidspunktet for afgivelse af deres samtykke ikke har haft mulighed for at til- eller fravælge de forskellige behandlingsformål, hvilket ikke er i overensstemmelse med databeskyttelsesreglers krav til et gyldigt samtykke. De registrerede har således ikke haft mulighed for at træffe et informeret valg, ligesom de ikke har haft reel kontrol over behandlingen af oplysninger om de pågældende.
Endvidere har tilsynet lagt vægt på, at det af den anvendte samtykketekst (informationsteksten) ikke fremgår, hvad formålene med behandlingen er, herunder at billederne tillige behandles til markedsføringsmæssige formål, ligesom teksten ikke indeholder information om opbevaringstiden.
Det er på den baggrund Datatilsynets vurdering, at den anvendte samtykketekst ikke er tilstrækkelig specifik og informeret, ligesom de pågældende ikke har givet et reelt frit samtykke.
De anvendte samtykker er således ikke i overensstemmelse med kravene til et gyldigt samtykke efter forordningens artikel 4, nr. 11.
Datatilsynet finder herefter grundlag for at udtale alvorlig kritik af, at Epic Bookings behandlinger af oplysninger på facebooksiden ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, jf. artikel 4, nr. 11.
Endvidere finder Datatilsynet grundlag for at meddele Epic Booking et påbud om at slette alle billeder fra Epic Bookings facebookside, som er behandlet uden gyldigt samtykke fra de registrerede.
4.2. Oplysningspligten
Af databeskyttelsesforordningens artikel 13, stk. 1, følger det, at hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
- identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
- kontaktoplysninger for en eventuel databeskyttelsesrådgiver
- formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen
- de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
- eventuelle modtagere eller kategorier af modtagere af personoplysningerne
- hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
Ud over disse oplysninger giver den dataansvarlige efter artikel 13, stk. 2, på det tidspunkt, hvor personoplysningerne indsamles, den registrerede en række yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling.
Den dataansvarlige skal efter bestemmelsen give den registrerede oplysninger om blandt andet, det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum, jf. artikel 13, stk. 2, litra a.
Det følger endvidere af databeskyttelsesforordningens artikel 12, stk. 1, at den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet bl.a. i artikel 13 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk.
Datatilsynet finder, at indholdet i den informationstekst, der opsættes i en nærmere afgrænset zone ved og foran selfiekameraet, og det ”speak”, som gives ved et arrangement, ikke lever op til kravene i databeskyttelsesforordningens artikel 12, stk. 1, og artikel 13, stk. 1 og 2.
Datatilsynet har herved lagt vægt på navnlig, at oplysningsteksten ikke indeholder oplysninger om formålene med behandlingen, jf. artikel 13, stk. 1, litra c, og oplysninger om tidsrummet for offentliggørelsen af billederne på facebooksiden, jf. artikel 13, stk. 2, litra a. Oplysningen om opbevaringstiden er efter tilsynets vurdering nødvendig for at sikre en rimelig og gennemsigtig behandling, jf. artikel 13, stk. 2, litra a, og er således en (yderligere) oplysning, som den registrerede har ret til, og bør gives umiddelbart til den registrerede ved fotograferingen.
Datatilsynet finder på den baggrund anledning til at udtale alvorlig kritik af Epic Bookings mangelende iagttagelse af oplysningspligten ved indsamling af personoplysninger i forbindelse med fotografering til Epic Bookings arrangementer.
4.3. Opbevaringsbegrænsning
De grundlæggende principper for behandling af personoplysninger, som fremgår af databeskyttelsesforordningens artikel 5, skal iagttages i forbindelse med enhver behandling af personoplysninger.
Dette indebærer bl.a., at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles, jf. bestemmelsens stk. 1, litra e (»opbevaringsbegrænsning«).
Epic Booking har oplyst, at billeder på facebooksiden offentliggøres (opbevares) uden tidsbegrænsning, idet kunderne forventer dette.
Datatilsynet vurderer, at en offentliggørelse uden tidsbegrænsning er i strid med princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e.
Datatilsynet har herved lagt vægt på hensynet til de afbillede personer, herunder den særlige beskyttelse som børn og unge nyder efter databeskyttelsesreglerne, og behandlingens karakter (offentliggørelse på Facebook). Endvidere har Datatilsynet lagt vægt på, at en frist på maksimalt 60 dage efter tilsynets opfattelse vil være tilstrækkelig til at opfylde kundernes behov for at kunne tilgå billederne.
På den baggrund finder tilsynet anledning til at udtale alvorlig kritik af Epic Bookings praksis for opbevaring af billeder.
Endvidere finder Datatilsynet grundlag for at meddele Epic Booking et påbud om at fastsætte en slettefrist på maksimalt 60 dage for så vidt angår billeder, der fremover offentliggøres på virksomhedens Facebookside.