Mag een werkgever nog wel foto’s verwerken onder de GDPR?

Zonder rechtsgrond is het principieel verboden om nog foto’s waarop iemand herkenbaar is, te verwerken.

De Gegevensbeschermingsautoriteit brengt meer duidelijkheid over de gepaste rechtsgrond voor de verwerking van foto’s onder de GDPR.

Zo goed als iedere werkgever verwerkt foto’s van zijn werknemers en soms zelfs van externen (zoals klanten, zelfstandigen of familieleden van werknemers). De situaties waarin dit gebeurt, kunnen velerlei zijn. Denk maar aan foto’s op veiligheidsbadges in het kader van toegangscontrole, foto’s die binnen de onderneming gelinkt worden aan een elektronisch account of gedeeld worden zodat collega’s een gezicht bij een naam kunnen plakken (“who is who”), foto’s die genomen worden op een bedrijfsevenement en achteraf intern gedeeld worden, maar ook foto’s die naar buiten toe gebruikt worden, bijvoorbeeld op de website van de onderneming, op sociale media of zelfs in marketingmateriaal.

Beeldmateriaal van een persoon heeft altijd, ook voor de GDPR, de bescherming genoten dat de persoon in kwestie zijn/haar toestemming moest geven voor het nemen en verder exploiteren van een foto. Dit zit vervat in het door de rechtspraak gecreëerde recht op afbeelding enerzijds en in het in de wet verankerde portretrecht anderzijds, die een toestemming vereisen voor het nemen van een gerichte foto van een persoon, evenals voor het reproduceren of aan het publiek meedelen ervan.

Meestal gingen ondernemingen er van uit dat, wanneer iemand poseerde voor een foto en geen bezwaar uitte tegen het verdere gebruik ervan, de persoon in kwestie impliciet zijn/haar toestemming had gegeven en de oude rechtspraak ging daar doorgaans ook in mee.

De logische vraag rees dan ook of die gedachtegang na de GDPR nog wel gevolgd kon worden. Volgens de GDPR heeft een onderneming immers een welbepaalde rechtsgrond nodig voor de verwerking van persoonsgegevens en de enige relevante rechtsgronden in het geval van de verwerking van foto’s door een onderneming zijn enerzijds de toestemming van de betrokkene, maar die toestemming moet dan wel vrij, specifiek, geïnformeerd en ondubbelzinnig zijn of anderzijds de gerechtvaardigde belangen van de onderneming (of van een derde) die zwaarder moeten doorwegen dan de belangen van de gefotografeerde, maar dan moet de verwerking van de foto wel noodzakelijk zijn om die belangen te dienen.

De eerste rechtsgrond - toestemming - vergt de meeste voorbereiding aangezien de onderneming in geval van betwisting in staat zal moeten zijn om die toestemming te bewijzen. Een specifieke, geïnformeerde toestemmingsverklaring, hetzij schriftelijk ondertekend, hetzij elektronisch aanvaard (bvb. door het aanvinken van een checkbox), waarin duidelijk wordt gepreciseerd waarom foto’s worden genomen en verwerkt, moet worden voorzien.

De tweede rechtsgrond - gerechtvaardigde belangen - houdt minder administratie in, hoewel de onderneming uiteraard nog wel de nodige informatie moet geven conform de GDPR (wat ook het geval is bij toestemming). Maar in dat geval kan de gefotografeerde de verwerking niet a priori blokkeren door geen toestemming te geven.

In de beide gevallen kan de persoon achteraf de verwerking nog betwisten, hetzij door zijn toestemming in te trekken (bij toestemming als rechtsgrond), hetzij door bezwaar te uiten tegen de verwerking (bij gerechtvaardigde belangen als rechtsgrond). Het intrekken van een toestemming heeft enkel gevolgen voor de toekomst: de eerder gegeven toestemming rechtvaardigt sowieso de verwerkingen voor het verleden. Wanneer bezwaar wordt geuit tegen een verwerking waarvoor de werkgever zich beriep op zijn gerechtvaardigd belang, kan ook de verwerking voor het verleden betwist worden. De werkgever zal dan in staat moeten zijn te argumenteren dat zijn belangen dwingender zijn om de verwerking nog voort te zetten.

De Gegevensbeschermingsautoriteit (‘GBA’) schept nu, naar aanleiding van onze vragen hierover, klaarheid over welke rechtsgrond gepast is. Volgens de GBA is toestemming de gepaste rechtsgrond voor alle foto-verwerkingen die “nice to have” zijn voor een onderneming, maar niet “need to have” in het kader van een gerechtvaardigd belang. Voor verwerkingen van foto’s die noodzakelijk zijn in het kader van bijvoorbeeld het veiligheidsbeleid van de onderneming - denk aan de identificatiefoto op een badge - kan de werkgever zich m.a.w. beroepen op gerechtvaardigde belangen, maar dat gaat niet op voor verwerkingen die niet noodzakelijk zijn in het kader van een gerechtvaardigd belang, zoals foto’s met het oog op het bevorderen van de goede relaties, een aangename werkomgeving, en/of sociale cohesie op de werkvloer of het publiceren van foto’s op de website vanuit de commerciële overweging dat klanten dan weten met welke mensen zij te maken hebben. In die gevallen zal de werkgever toch een toestemming moeten vragen aan de personen wiens foto’s hij wil gebruiken.

Dat werknemers over het algemeen geacht worden niet vrij hun toestemming te kunnen geven aan hun werkgever voor de verwerking van hun persoonsgegevens vormt volgens de GBA geen hinderpaal. Die toestemming is volgens de GBA wel mogelijk - en in dit geval ook gepast - indien de werknemer geen nadeel lijdt als hij/zij dit zou weigeren.

> Actiepunt

Het is belangrijk om in kaart te brengen in welke gevallen uw onderneming foto’s verwerkt en vervolgens te bepalen voor welke verwerkingen toestemming vereist is. Voor die verwerkingen moet toestemming worden gevraagd. Indien de onderneming toch zou beslissen om geen toestemming te gebruiken, dan is het belangrijk, zo bevestigt ook de GBA, om de afweging die aan deze beslissing voorafgaat, te documenteren, rekening houdend met het accountability principe.