Datatilsynet har påbudt et hospital at fjerne billeder af patienter fra sociale medier, fordi samtykke ikke kunne anses for frivilligt. Hospitalet gav både betænkningstid og mulighed for forhåndsgodkendelse af opslag, men afhængighedsforholdet mellem patient og hospital gjorde, at samtykket ikke opfyldte GDPR’s krav.
Retsgrundlag og vurdering
Gyldigt samtykke kræver, at det er frivilligt, specifikt, informeret og utvetydigt. Datatilsynet lægger vægt på det ulige forhold: Patienter er i en sårbar situation og afhængige af behandling, hvilket kan skabe et pres for at sige ja. I sådanne relationer vil samtykke ofte ikke være en holdbar hjemmel efter GDPR art. 6 og art. 7. Når der desuden kan være tale om helbredsoplysninger, skærper art. 9 kravene yderligere.
Selv veltilrettelagte processer for indhentelse af samtykke – som betænkningstid og preview af opslag – kan ikke kompensere for den strukturelle ubalance. Afgørelsen illustrerer dermed en restriktiv praksis for brug af samtykke ved offentliggørelse af identificerbare billeder, særligt i sundhedssektoren og andre myndighedsrelationer. Læs afgørelsen fra Datatilsynet her.
Praktiske implikationer
Offentlige myndigheder og arbejdsgivere bør som udgangspunkt undgå at basere offentliggørelse af billeder af borgere og ansatte på samtykke, når der er et ulige forhold. Brug i stedet billeder uden genkendelige personer eller sløring, eller overvej brug af modelbilleder.
Andre behandlingsgrundlag kan i særlige tilfælde komme i betragtning, fx kontrakt som hjemmel, hvis der foreligger en reel modydelse og ikke blot en omgåelse af samtykkekravet. Uanset valg af hjemmel skal den dataansvarlige dokumentere interesseafvejninger, minimere data og sikre effektiv sletning, hvis betingelserne ikke længere er opfyldt.
