• цивільне право
  • Господарське право
  • фінансове право
  • адміністративне право
  • трудове законодавство
  • кримінальне право
  • Європейське право
  • інші юридичні відділи

Фотографії та відео представляють відносно суперечливу проблему в контексті GDPR [1]. Фотографії та відеозаписи не завжди підпадають під дію GDPR, і навпаки, їх не завжди можна виключити із сфери застосування, і тому важливо визначити певні пороги. Метою статті є головним чином допомогти визначити, коли, чому і в яких ситуаціях ми підпорядковуємо фотографії та відеозаписи, їх обробку зоні захисту персональних даних та як можна застосовувати законність обробки персональних даних в ілюстрованих ситуаціях.

gdpr

Які фото та відео ми вважаємо доречними з точки зору ВВП

Персональні дані (ОУ) - це будь-яка інформація, що стосується ідентифіковані або ідентифікується (ідентифікується) фізична особа, яка діє на посаді відповідної особи. [2] Ідентифікувана природа фізичної особи означає можливість її прямої або непрямої ідентифікації, зокрема посиланням на конкретний ідентифікатор, який може бути ім'ям, ідентифікаційним номером, даними про місцезнаходження, ідентифікатором в Інтернеті або посиланням на один або більше елементів, специфічних для фізичного, фізіологічна, генетична, психічна, економічна, культурна чи соціальна ідентичність цієї фізичної особи.

Фотографії, а також відео - це НЕ де вони фіксують портрети окремих фізичних осіб, на яких цих осіб можна ідентифікувати. Обсяг інформації, достатній для ідентифікації фізичної особи, завжди залежить від оцінки конкретного випадку. Іноді досить і самого портрета, і можна точно визначити, хто на фото, інший раз потрібна додаткова інформація. Однак передумовою є те, що особу тоді можна ідентифікувати, якщо без надмірних зусиль можна отримати додаткову інформацію, що дозволяє її ідентифікувати. Не має вирішального значення, доступна ця додаткова інформація особі, яка ідентифікує особу, чи комусь іншому, а також час отримання цієї інформації не є визначальним. Ключовим є головним чином результат, внаслідок чого заінтересовану особу можна встановити.

Тому необхідно враховувати всі засоби, за допомогою яких існує обґрунтована ймовірність того, що вони будуть використані оператором [3] або будь-якою іншою особою для ідентифікації зацікавленої особи. [4]

Фотографії також можуть розглядатися як чутлива організаційна організація?

Попередній закон [5] включав фотографію фізичної особи до особливої ​​категорії НУ, тоді як GDPR більше не розглядає фотографію як чутливу НУ, поки фотографія не відповідає певній частині визначення особливої ​​категорії НУ. [ 6]

Фото та відео Отже, вони можуть вважатися чутливими НУ за певних обставин. Це може піти, наприклад на навмисне фотографування людей чи дітей, які фіксують їхнє ставлення до релігії, інвалідності, статевого життя чи сексуальної орієнтації.

Деякі зображення обличчя також можуть мати природний характер біометричні дані[7], якщо вони є результатом спеціальної технічної обробки, яка дозволяє або підтверджує унікальну ідентифікацію фізичної особи.

Для обробки особливої ​​категорії персональних даних застосовується, що для законності обробки необхідно відповідати одному з винятків, зазначених у ст. 9 пар. 2 GDPR.

Там, де ми найчастіше можемо зіткнутися з проблемою фотографій та відео, які підпадають під дію GDPR?

Ми зустрічаємось з ними найчастіше:

  • для співробітників на посвідченнях працівників, презентаційних матеріалах та веб-сайтах, у соціальних мережах, інтрамережах або іноді на візитних картках;
  • для учасників різних заходів, наприклад у випадку корпоративних заходів, громадських культурних заходів, де зафіксований їхній хід;
  • для фотографів та операторів під час їх професійної діяльності;
  • в газетах і журналах;
  • у різних соціальних мережах.
Про що необхідно подумати, щоб забезпечити законність обробки ОГ на організованих заходах?

Визначення законності фотографії, відеовиробництва та їх публікації завжди залежить від оцінки конкретного випадку та його специфіки, особливо з точки зору цілей обробки НУ. Оператор повинен мати адекватну правову основу для кожної мети обробки ЦС відповідно до ст. 6 пар. 1 GDPR, який визначає умови, за яких обробка є законною.

Ось кілька прикладів ситуацій, які служать практична ілюстрація впровадження GDPR відповідно до висновку Управління захисту персональних даних Словацької Республіки. [8] Основними цілями обробки OÚ в ілюстрованих ситуаціях є в основному маркетинг, відповідно. рекламні цілі оператора. У будь-якому випадку оператор повинен виконати інформаційне зобов’язання відповідно до ст. 13 та 14 GDPR. Зацікавлена ​​особа повинна бути своєчасно та своєчасно поінформована про умови обробки ІВ. Якщо правовою підставою для обробки ЦС є згода, оператор зобов'язаний повідомити зацікавлену особу про своє право відкликати згоду, а якщо правова основа є законним інтересом, обґрунтувати своє право обробляти ЦС.

  • Фірмова подія:
Перший приклад для визначення відповідної правової основи існує більш масштабний корпоративний захід із 100 працівниками. До дня події оператор інформує працівників як учасників корпоративного заходу про те, що на заході будуть зроблені фотографії та відео, а також правова основа для такої обробки. [9] Корпоративний захід - це, як правило, захід, де це можливо визначити учасників заходу заздалегідь. У цьому випадку обробка фотографій та відеозаписів як НЕ може здійснюватися на законних підставах заяви згода. Однак будь-якої згоди недостатньо, але такої, яка відповідає умовам надання згоди, передбаченої ст. 7 GDPR. Спосіб отримання згоди контролера на обробку ЗІЗ може бути різним, але згода відповідної особи повинна бути підтверджена контролером.

Можливість також допускається мається на увазі згода виражається активними діями зацікавленої особи після дотримання умов. Такими умовами може бути, наприклад, ситуація, коли оператор заздалегідь інформує майбутнього суб'єкта даних про те, що фотографії та відеоролики будуть зроблені в окреслених та чітко позначених зонах/частинах приміщення на корпоративному заході, і ці замовлення на замовлення будуть опубліковані на дошці оголошень компанії. Оператор повинен попередити зацікавлену особу, що якщо він не зацікавлений у фотографуванні та записі, він не буде входити у зазначені зони, інакше своєю активною діяю він чітко погоджується з умовами, про які оператор повідомив йому у попередженні. Оператор може продемонструвати свою згоду, наприклад, цим повідомленням, яке чітко інформує особу про умови його згоди відповідно до активної процедури GDPR, припускаючи, що це ситуація, коли особа має можливість користуватися приміщенням виключно добровільно і жодним чином не примусово (наприклад, фотобокс funface).

  • Відкритий захід:
Другий приклад - публічний захід, де організатор вирішив дати безкоштовний вхід, і неможливо об’єктивно обмежити кількість учасників. Наприклад, це може бути культурний захід міста, який організовує різні семінари з метою формування здорової екологічної свідомості. Згода, як правова основа для обробки НУ, не може бути отримана з об’єктивних причин через велику, необмежену кількість учасників заходу або умови заходу (відкритий та необмежений публічний простір). З огляду на це, законність обробки НУ може бути виправдана законним інтересом після ретельного позитивного перевірки пропорційності, зокрема тим, що інтереси оператора виправдані, обробка з цією метою необхідна, і його законні інтереси не переважають основні права та свободи зацікавлених осіб.

У цьому випадку слід зазначити, що навіть за такої фотозйомки фізичні особи все ще мають право не лише заперечити проти фотографії, але й мають право на захист особистості згідно з Цивільним кодексом.

Якою може бути позиція фотографа на заходах у контексті GDPR?

Оператор, наприклад, організація може робити фотографії чи відео на заходах, які організовує з рекламними цілями самостійно або через уповноважених осіб, якому він доручив дану обробку та доручив їм відповідно до GDPR. Таким чином, посаду фотографа виконує сам Оператор, і йому не потрібно запрошувати до цього іншу зовнішню особу.

Другий варіант, що оператор може вибрати, це укласти контракт на виготовлення або публікацію фотографій та відеозаписів зовнішнього фотографа. Зовнішній фотограф у такому випадку він буде оброблений ЦС. в позиції посередника, і таким чином буде обробляти фотографії від імені організації з метою, призначеною їй цією організацією.

Але про це потрібно пам’ятати, що якщо зовнішній фотограф виконуючи функції посередника не може перевищувати його повноважень. Таке перевищення може бути у випадку, коли фотограф робить та/або публікує фотографії та відеозаписи з рекламними цілями від діяльності, яку він проводив для організації на своєму веб-сайті з метою власної промоції. Таке використання фотографій організації для власних рекламних цілей фотографа означало б, що він сам став оператором у цій діяльності.

Довідково: Фотограф як такий також може бути самим оператором, коли він не діє внаслідок порушення його прав та обов’язків щодо іншого оператора, але ти сам визначити мету та засоби обробки та буде обробляти НУ на деяких заходах від свого імені, виконуючи при цьому всі свої зобов’язання, покладені на нього GDPR. Прикладом може бути ситуація, коли він вирішує сфотографувати зацікавлених осіб, щоб створити власне портфоліо для просування своєї діяльності.

Що стосується сфери застосування GDPR на приватних заходах?

У випадку приватних подій оцінити це часом важче, незалежно від того, чи поширюються вони на GDPR. GDPR становить не застосовується для переробки НУ фізичними особами як частина суто особистої чи побутової діяльності.[10] Наприклад, фізична особа, яка б фотографувала членів своєї родини на сімейному святі, щоб створити приватний сімейний фотоальбом, не розглядалася б як оператор, який брав би на себе зобов’язання під час обробки НУ згідно з GDPR. З іншого боку, ми вже могли б розглядати як оператора, наприклад, людину, яка фотографує членів своєї родини на сімейному святі, але публікує їх у своєму щоденнику, щоб просувати свою діяльність як професійний фотограф, а це означає, що виключно особистий або домашня діяльність, тому вона взагалі не буде працювати.

Сам факт того, що говорять про приватні події, може призвести до того, що жодне застосування захисту ЦА не розглядається і вже не стосується сфери захисту прав громадян. Однак це не завжди так, оскільки Робоча група WP 29 також може переконати нас, яка в минулому розробила низку питань, на які потрібно відповісти та розглянути їх перед винятком сфери законодавства про захист даних:

  • Фотографії розповсюджуються невизначеній кількості людей або обмеженій спільноті друзів, сім'ї чи знайомих?
  • Це фотографії фізичної особи, з якою особа, яка їх обробляє, не має особистих чи побутових стосунків (наприклад, під час публікації в соціальній мережі)?
  • Вказує на обсяг та частоту обробки фотографій, характер професійної або штатної діяльності?
  • Є дані, що обробка фотографій здійснюється кількома людьми, що діють колективно та організовано?
  • Існує потенційний негативний вплив на суб'єкта даних, включаючи вторгнення в приватне життя суб'єкта даних?
Що ще потрібно враховувати при фотографуванні та відеозаписі людей?

Знімаючи фотографії та відео, на яких зображені портрети людей, ви також можете натрапити на положення захист особистості згідно з Цивільним кодексом, оскільки вони можуть представляти прояви особистого характеру. Захист персональних даних та захист особистості - це два правові інститути, які безпосередньо пов’язані із сферою особистості людини. В деяких випадках вони можуть йти рука об руку, в інших випадках вони можуть існувати незалежно один від одного. Наприклад, у разі обробки НУ в рамках виключно особистої та побутової діяльності, така обробка не потрапляє в сферу застосування GDPR, але в конкретному випадку може порушити положення Цивільного кодексу та завдати шкоди особистому, сімейному або професійне життя в результаті такої обробки.

Висновок: Мета цієї статті - надати загальний огляд проблеми та навести кілька прикладів для ілюстрації та відображення, щоб зробити захист персональних даних чіткішим та зрозумілішим з точки зору нецікавої громадськості. Кожен випадок різний і вимагає індивідуальної оцінки, тому не соромтеся знаходити експертів з конкретних питань, які допоможуть вам правильно впровадити захист персональних даних у внутрішні процеси вашої організації.