Persoonsgegevens
De AVG draait rondom het begrip ‘persoonsgegevens’. Dat zijn gegevens over een persoon die hem of haar kunnen identificeren. Het begrip is heel ruim. Daaronder vallen bijvoorbeeld NAW-gegevens, geboortedatum en telefoonnummer. Maar juist ook een portret(foto) is een persoonsgegeven. Als dergelijke persoonsgegevens worden ‘verwerkt’ dan is de AVG van toepassing. Van een verwerking is sprake als iemand iets met die persoonsgegevens doet. Eigenlijk vallen alle werkwoorden (verzamelen, ordenen, wijzigen, opvragen, gebruiken, etc.) onder dit begrip. Degene op wie de persoonsgegevens betrekking hebben, noem je de ‘betrokkene’. De partij die het doel en de middelen van die verwerking bepaalt, is de verantwoordelijke. Als die verantwoordelijke een ander inschakelt om voor hem persoonsgegevens te verwerken, dan noem je dat een verwerker.1
In de AVG wordt bepaald wanneer een verantwoordelijke persoonsgegevens mag verwerken en onder welke voorwaarden. Dit vraagt om een voorbeeld. Neem een willekeurige professionele fotograaf in gedachten. Deze fotograaf maakt portretfoto’s in opdracht van klanten en hij trekt erop uit om foto’s te maken van de natuur en het straatbeeld. Als de fotograaf een portretfoto maakt, dan legt hij persoonsgegevens vast. De geportretteerde is de betrokkene. Zijn of haar portret wordt immers herkenbaar vastgelegd. Het maken van het portret is een verwerking van persoonsgegevens. De fotograaf is daarbij – als uitgangspunt – de verantwoordelijke.
Verwerkingsgrondslagen en toestemming
De fotograaf mag alleen persoonsgegevens verwerken als hij over een geldige verwerkingsgrondslag beschikt. De wet geeft een limitatief lijstje met grondslagen, maar voor de fotografiepraktijk zullen vooral de uitvoering van een overeenkomst, gerechtvaardigd belang en – in sommige gevallen – toestemming aan de orde zijn. Als een klant je opdracht geeft om een foto van hem of haar te maken, dan moet je logischerwijs zijn of haar persoonsgegevens verwerken. Om te beginnen moet je waarschijnlijk NAW-gegevens, een telefoonnummer en een e-mailadres vastleggen.2
Maar ook de portretfoto zelf is dus een persoonsgegeven. De overeenkomst die je daarvoor sluit, is de basis voor de verwerking van persoonsgegevens.3
Je kunt een overeenkomst overigens ook mondeling sluiten. Dat is anders als diezelfde klant opdracht geeft om foto’s te maken van een gebouw in een drukke winkelstraat, waarbij ook voorbijgangers vastgelegd worden. Je hebt weliswaar opdracht gekregen om foto’s te maken, maar de mensen die (als ‘bijvangst’) worden gefotografeerd hebben geen (contractuele) relatie met jouzelf. Uitvoering van een overeenkomst is dus niet aan de orde. In die gevallen kan je als fotograaf toestemming vragen aan de mensen die je fotografeert of een beroep doen op het zogenaamde ‘gerechtvaardigd belang’. Dat is bijvoorbeeld jouw belang om foto’s te kunnen maken en verkopen of jouw recht op vrije nieuwsgaring (voor journalistieke doeleinden).4
Je zult dan moeten afwegen of jouw belang zwaarder weegt dan het privacybelang van de geportretteerde. Context speelt daarbij ook een rol. Een foto van winkelend publiek zal minder snel bezwaarlijk zijn dan een foto gemaakt op een nudistencamping. Over het algemeen geldt: hoe gevoeliger de context, hoe eerder het privacybelang van de geportretteerde zwaarder weegt en de fotograaf dus geen gerechtvaardigd belang heeft.
Zelf raad ik klanten altijd aan om toestemming als een laatste optie te zien. Als je gebruik kunt maken van andere verwerkingsgrondslagen, maak daar dan ook gebruik van. In het geval van fotografen ligt dat iets genuanceerder. Omdat je als fotograaf soms (willekeurige) voorbijgangers op de foto zet, ken je de betrokkenen niet. Zij kunnen dus geen contact opnemen en worden soms pas bij publicatie met de beelden geconfronteerd. Om nare discussies achteraf te voorkomen, is het aan te raden even toestemming te vragen en dat op papier vast te leggen (een soort ‘quitclaim’). Is dat niet mogelijk, dan kan je in sommige gevallen terugvallen op het gerechtvaardigd belang.
Rechten van de betrokkene
De betrokkene heeft het recht om de gegevens die jij over hem of haar verwerkt in te zien, te verbeteren, te laten wissen en de verwerking daarvan tijdelijk te laten ‘bevriezen’.5
Als verantwoordelijke fotograaf moet je aan dergelijke verzoeken in principe voldoen, tenzij de wet een grond biedt om het verzoek af te wijzen. Ook moet je de betrokkene vooraf informeren over de persoonsgegevens die je verzamelt, wat je daarmee doet en hoe lang je die gegevens bewaart. Dergelijke informatie kun je opnemen in een privacy statement dat je bijvoorbeeld op je website plaatst.
Portretrecht
In een eerdere bijdrage schreef ik over portretrechten. Het portretrecht is een uitzondering op het auteursrecht van de fotograaf. Bij portretten die niet in opdracht van de geportretteerde zijn gemaakt, bijvoorbeeld de hiervoor genoemde toevallige voorbijganger, geldt dat deze door de fotograaf mogen worden gepubliceerd, tenzij de geportretteerde een ‘redelijk belang’ heeft dat zich tegen openbaarmaking van de foto verzet. Dat ‘redelijk belang’ is in het bijzonder een privacybelang. De afweging die je hierbij als fotograaf – en als er een geschil over ontstaat de rechter – moet maken lijkt enigszins op het hiervoor besproken gerechtvaardigd belang. Je zou kunnen betogen dat het portretrecht (voor niet in opdracht gemaakte foto’s) na de introductie van de AVG in wezen niet meer bestaat.
De hiervoor bedoelde belangenafweging wordt namelijk ‘ingevuld’ door de bepalingen van de AVG. Met andere woorden: als een foto op grond van de AVG mag worden gemaakt en/of gepubliceerd, dan is er ook geen sprake van privacybelangen van de geportretteerde die zich tegen publicatie verzetten. In grote lijnen is daar best wat voor te zeggen. De Europese wetgever heeft namelijk uitgebreid nagedacht over hoe hij een balans kan aanbrengen tussen de commerciële belangen van een bedrijf enerzijds en privacybelangen anderzijds.
Er zijn echter twee belangrijke verschillen tussen de ‘redelijk belang’-toets en de AVG.
• Of de geportretteerde zich tegen publicatie van zijn portret kan verzetten, is niet uitsluitend gebaseerd op privacybelangen. Er zijn ook andere ‘belangen’ die zwaar kunnen wegen, zoals een commercieel exploitatiebelang. Dat geldt bijvoorbeeld voor bekende mensen die geld kunnen verdienen met hun beeltenis, zoals sporters en modellen. Dus: zelfs al mag je gelet op de AVG een foto maken, dan kan een geportretteerde vanwege zijn exploitatiebelangen in voorkomende gevallen toch bezwaar maken tegen de publicatie ervan.
• Het portretrecht speelt pas een rol bij de openbaarmaking van een foto. Een fotograaf mag dus vanuit het portretrecht bezien gerust een foto van iemand maken, maar mag deze – indien een ‘redelijk belang’ zich daartegen verzet – niet publiceren. De AVG daarentegen geldt ook al bij het maken van de foto. De fotograaf moet zich ervan vergewissen – zoals hiervoor toegelicht – dat hij een geldige verwerkingsgrondslag heeft en aan de overige eisen van de AVG voldoet.
Enkele tips tot slot
Als professioneel fotograaf kom je onvermijdelijk in aanraking met persoonsgegevens; van klanten en van mensen die je fotografeert. De AVG legt aan iedereen die persoonsgegevens verwerkt verplichtingen op. Het toverwoord ‘AVG-compliant’ zijn, begint met het in kaart brengen van welke persoonsgegevens je eigenlijk allemaal verzamelt. Ga zelf na welke gegevens klanten allemaal verstrekken als ze van je diensten gebruikmaken en controleer wat je met die gegevens doet en hoe lang je ze bewaart. Dat geldt ook voor foto’s waarop voorbijgangers zijn gefotografeerd. Vervolgens kun je per categorie van persoonsgegevens nagaan op welke wettelijke grondslag je deze mag verzamelen, gebruiken en bewaren. De informatie die je uit deze exercitie afleidt, wordt doorgaans in een privacystatement samengevat. Privacybewust bezig zijn is ten slotte niet een éénmalig iets. Je moet periodiek nagaan of je bedrijfsvoering aan de wet voldoet. Daarbij is de AVG meestal niet eng, maar dwingt je slechts om na te denken over hoe je met persoonsgegevens omgaat en om daar transparant over te zijn naar de betrokkenen (meestal je klanten).6
Noten
1. Als je externe diensten gebruikt, zoals een cloud back-updienst, dan kan het zijn dat je een verwerkersovereenkomst met de leverancier moet sluiten. Dat is een overeenkomst waarin je met de verwerker een aantal verplichte afspraken maakt over hoe hij met de persoonsgegevens omgaat waarvoor jij verantwoordelijk bent.
2. Verzamel niet meer persoonsgegevens dan je nodig hebt. Ook als je een grondslag hebt om persoonsgegevens te verwerken’, mag je volgens de AVG niet meer gegevens verwerken dan nodig is voor het doeleinde waarvoor je de gegevens hebt verzameld.
3. Let wel op: zodra je de persoonsgegevens niet meer nodig hebt ter uitvoering van de overeenkomst, dien je deze in principe te verwijderen. Onder bepaalde voorwaarden zal je bepaalde gegevens zoals naam en e-mailadres op basis van je gerechtvaardigde (bedrijfs)belang mogen blijven gebruiken om bijvoorbeeld promomails te versturen aan klanten.
4. De Minister voor Rechtsbescherming zegt hier over dat het vragen van toestemming het meest voor de hand ligt. (Nota naar aanleiding van het verslag: https://zoek.officielebekendmakingen.nl/kst-34851-7.html. Als toestemming vragen eigenlijk niet mogelijk is dan “kan” volgens de Minister het gerechtvaardigd belang ook “de grondslag zijn”. Zijn standpunt hierover is echter niet bijzonder duidelijk.
5. Op de website van de privacytoezichthouder, de Autoriteit Persoonsgegevens, is een handig overzicht te vinden van de rechten van de betrokkene: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/rechten-van-betrokkenen.
6. De Autoriteit Persoonsgegevens heeft een ‘regelhulp’ op haar website geplaatst waarmee je grofweg een inschatting kan maken van welke maatregelen je als ondernemer moet treffen: https://rvo.regelhulpenvoorbedrijven.nl/avg.
