GDPR är inte ny, men tillämpningen skärps och bildarkiven växer. Många organisationer sitter på tusentals personbilder utan att veta vilka som har dokumenterat samtycke. Det är den frågan som blir mest aktuell 2026: inte vad lagen säger, utan om du kan visa att du följer den. Den här genomgången är praktisk, inte juridisk.
Ett foto är en personuppgift
Enligt GDPR räknas ett foto av en identifierbar person som en personuppgift. Du behöver en laglig grund för att behandla bilden – vanligtvis samtycke eller berättigat intresse. För bilder som ska användas i marknadsföring och extern kommunikation är samtycke huvudregeln. Det gäller särskilt bilder tagna för marknadsföring, bilder i kommersiella sammanhang och bilder på barn, där vårdnadshavares samtycke krävs.
Gamla bilder är den verkliga risken
De färska bilderna har ni oftast koll på. Problemet sitter i arkivet: bilder från event, personalbilder och kampanjer från tidigare år där ingen vet om samtycke finns. Inför 2026 är det värt att göra en enkel inventering:
- Vilka bilder visar identifierbara personer?
- För vilka finns dokumenterat samtycke?
- Vilka används fortfarande aktivt?
Bilder utan grund som fortfarande publiceras är den största exponeringen. Börja där.
Samtycke ska kunna återkallas
Ett samtycke är frivilligt och kan när som helst återkallas. Om en person ber dig ta bort sin bild ska du göra det – och då behöver du snabbt kunna hitta var bilden finns i alla kanaler. Det förutsätter att bilderna är samlade och sökbara, inte utspridda i mappar och mejltrådar.
Dokumentera – annars räknas det inte
Att ha samtycke hjälper inte om du inte kan visa det. Spara information om vem som samtyckt, till vad och när. En digital samtyckeshantering kopplar avtalet direkt till bilden, så att grunden följer med genom hela arkivet. Läs mer om grunderna i vår guide till bildrättigheter och GDPR.
Tre steg inför 2026
- Inventera vilka personbilder ni faktiskt använder och vilka som saknar grund.
- Centralisera bilderna så att de går att söka, gallra och ta bort på ett ställe.
- Koppla samtycket till bilden med en bildbank som hanterar avtal och åtkomst, istället för lösa mappar.
GDPR behöver inte göra er försiktiga med personbilder. Med ordning på samtycken och ett samlat arkiv kan ni använda dem tryggt – och stå för dem om frågan kommer.
