• drept civil
  • Dreptul afacerilor
  • dreptul financiar
  • lege administrativa
  • dreptul muncii
  • drept penal
  • Dreptul european
  • alte departamente juridice

Fotografiile și videoclipurile prezintă o problemă relativ controversată în contextul GDPR [1]. Fotografiile și videoclipurile nu se încadrează întotdeauna în domeniul de aplicare al GDPR și invers, nu pot fi întotdeauna excluse din domeniu și de aceea este important să se definească anumite praguri. Scopul articolului este în principal de a ajuta la definirea momentului, de ce și în ce situații subordonăm fotografiile și videoclipurile, prelucrarea acestora către zona de protecție a datelor cu caracter personal și modul în care legalitatea prelucrării datelor cu caracter personal poate fi implementată în situații ilustrate.

fotografii

Ce fotografii și videoclipuri considerăm relevante în termeni de PIB

Datele cu caracter personal (OU) sunt orice informații referitoare la identificat sau identificabil persoană fizică (identificabilă) care acționează în poziția persoanei în cauză. [2] Natura identificabilă a unei persoane fizice înseamnă posibilitatea identificării sale directe sau indirecte, în special prin referire la un identificator specific, care poate fi numele, numărul de identificare, datele de localizare, identificatorul online sau referința la unul sau mai multe elemente specifice fizice., identitate fiziologică, genetică, mentală, economică, culturală sau socială a acelei persoane fizice.

Fotografiile, precum și videoclipurile sunt OU unde surprind portrete ale unor persoane fizice individuale asupra cărora aceste persoane pot fi identificate. Mărimea informațiilor care sunt suficiente pentru a identifica o persoană fizică depinde întotdeauna de evaluarea unui caz specific. Uneori, portretul în sine este suficient și este posibil să se determine exact cine este în fotografie, alteori este nevoie de informații suplimentare. Cu toate acestea, premisa este că atunci persoana este identificabilă, dacă, fără eforturi nejustificate, este posibil să se obțină informații suplimentare care să permită identificarea acestora. Nu este decisiv dacă aceste informații suplimentare sunt disponibile pentru persoana care identifică sau pentru altcineva și nici timpul pentru obținerea acestor informații nu este decisiv. Cheia este în principal rezultatul, în urma căreia persoana în cauză poate fi identificată.

Prin urmare, este necesar să se ia în considerare toate mijloacele prin care există o probabilitate rezonabilă ca acestea să fie utilizate de operator [3] sau de orice altă persoană pentru a identifica persoana în cauză. [4]

Fotografiile pot fi, de asemenea, considerate sensibile?

Legea anterioară [5] includea o fotografie a unei persoane fizice dintr-o categorie specială de OU, în timp ce GDPR nu mai consideră fotografia o OU sensibilă, până când fotografia nu îndeplinește o parte a definiției unei categorii speciale de OU. [ 6]

Fotografii și videoclipuri prin urmare, ele pot fi considerate ca OU-uri sensibile în anumite circumstanțe. Poate merge de exemplu pe intenționat fotografierea persoanelor sau copiilor care își surprind relația cu religia, dizabilitățile, viața sexuală sau orientarea sexuală.

Anumite imagini faciale pot fi, de asemenea, de natură date biometrice[7], dacă sunt rezultatul unei prelucrări tehnice speciale, care permite sau confirmă identificarea unică a unei persoane fizice.

Pentru prelucrarea unei categorii speciale de date cu caracter personal, se aplică faptul că pentru legalitatea prelucrării este necesar să se îndeplinească una dintre excepțiile specificate la art. 9 alin. 2 GDPR.

Unde putem întâlni cel mai adesea problema fotografiilor și videoclipurilor care intră sub incidența GDPR?

Le întâlnim cel mai des:

  • pentru angajați pe cărți de identitate ale angajaților, materiale de prezentare și site-uri web, rețele sociale, intranet sau ocazional pe cărți de vizită;
  • pentru participanții la diferite evenimente, de exemplu în cazul evenimentelor corporative, evenimente culturale publice în care progresul lor este documentat;
  • pentru fotografi și cameraman în cursul activităților lor profesionale;
  • în ziare și reviste;
  • pe diverse rețele sociale.
La ce este necesar să ne gândim pentru a asigura legalitatea procesării OÚ la evenimentele organizate?

Definiția legalității fotografiei, a producției video și a publicării acestora depinde întotdeauna de evaluarea unui caz specific și de specificul acestuia, în special în ceea ce privește scopurile intenționate de prelucrare a OU. Operatorul trebuie să aibă o bază legală adecvată pentru fiecare scop al procesării CA în conformitate cu art. 6 alin. 1 GDPR, care definește condițiile în care prelucrarea este legală.

Iată câteva exemple de situații care servesc ilustrare practică a implementării GDPR în conformitate cu avizul Oficiului pentru Protecția Datelor cu Caracter Personal din Republica Slovacă. [8] Principalele scopuri ale procesării OÚ în situațiile ilustrate sunt în principal marketingul, resp. scopuri promoționale ale operatorului. În orice caz, operatorul trebuie să îndeplinească obligația de informare în conformitate cu art. 13 și 14 GDPR. Persoana în cauză trebuie să fie informată în mod corespunzător și în timp util cu privire la condițiile de prelucrare a PI. Dacă baza legală pentru prelucrarea CA este consimțământul, operatorul este obligat să informeze persoana în cauză cu privire la dreptul său de a retrage consimțământul și, dacă baza legală este un interes legitim, să justifice dreptul său de a procesa CA.

  • Eveniment companie:
Primul exemplu pentru a determina baza legală adecvată, există un eveniment corporativ mai mare cu 100 de angajați. Înainte de ziua evenimentului, operatorul informează angajații, ca participanți la evenimentul companiei, că fotografiile și videoclipurile vor fi realizate la eveniment, precum și baza legală pentru o astfel de prelucrare. [9] Un eveniment corporativ este de obicei un eveniment în care este posibil identificați în prealabil participanții la eveniment. În acest caz, prelucrarea fotografiilor și videoclipurilor ca OU ar putea fi efectuată pe baza legală a declarației consimţământ. Cu toate acestea, orice consimțământ nu este suficient, ci unul care îndeplinește condițiile pentru acordarea consimțământului în temeiul art. 7 GDPR. Modul în care operatorul obține consimțământul pentru prelucrarea EIP poate fi diferit, dar consimțământul persoanei în cauză trebuie să poată dovedi de către operator.

Este permisă și posibilitatea consimțământul implicit exprimată prin acțiunea activă a persoanei în cauză după îndeplinirea condițiilor. Astfel de condiții pot fi, de exemplu, o situație în care operatorul informează în prealabil viitorul subiect de date că fotografiile și videoclipurile vor fi făcute în zone/părți ale camerei delimitate și clar marcate la un eveniment al companiei, iar aceste OP vor fi postate apoi la avizierul companiei. Operatorul va avertiza persoana în cauză că, dacă nu este interesată să fie fotografiată și înregistrată, nu va intra în aceste zone marcate, în caz contrar, prin acțiunea sa activă, este de acord în mod expres cu condițiile pe care operatorul i-a informat în avertisment. Operatorul ar putea demonstra consimțământul, de exemplu, prin această notificare, care informează în mod clar persoana cu privire la condițiile consimțământului său în conformitate cu procedura activă GDPR, presupunând că aceasta este o situație în care persoana are posibilitatea de a utiliza camera exclusiv în mod voluntar. și nu este în niciun fel forțat (de ex., caseta de fotografii funface).

  • Eveniment public:
Al doilea exemplu este un eveniment public, în cazul în care organizatorul a decis să acorde intrare gratuită și nu este posibil să se limiteze obiectiv numărul de participanți. Poate fi, de exemplu, un eveniment cultural al orașului, care organizează diverse ateliere cu scopul de a construi o conștientizare sănătoasă a mediului. Consimțământul, ca bază legală pentru prelucrarea OU, nu poate fi obținut din motive obiective, din cauza numărului mare și nelimitat de participanți la eveniment sau a condițiilor evenimentului (spațiu public deschis și nelimitat). Având în vedere acest lucru, legalitatea procesării OU ar putea fi justificată printr-un interes legitim după un test atent de proporționalitate pozitivă, în special prin faptul că interesul operatorului este justificat, prelucrarea în acest scop este necesară și interesele sale legitime nu sunt depășite de drepturile fundamentale și libertățile persoanelor în cauză.

În acest caz, trebuie remarcat faptul că, chiar și în cazul unei astfel de fotografii, persoanele fizice au în continuare dreptul nu numai să se opună fotografierii, dar au și dreptul la protecția personalității în temeiul Codului civil.

Care poate fi poziția unui fotograf la evenimente în contextul GDPR?

Operator, de exemplu, o organizație poate face fotografii sau videoclipuri la evenimentele pe care le organizează în scopuri promoționale singur sau prin intermediul persoanelor autorizate ale acestuia, pe care i-a încredințat procesarea dată și i-a instruit în conformitate cu GDPR. Poziția de fotograf este astfel îndeplinită de Operator însuși și nu are nevoie să invite o altă persoană externă să facă acest lucru.

A doua opțiune, pe care operatorul îl poate alege este să contracteze pentru producerea sau publicarea de fotografii și videoclipuri ale unui fotograf extern. Fotograf extern în acest caz, acesta va fi procesat de către CA. în poziția de mediator, și astfel va procesa fotografiile în numele organizației în scopul atribuit acesteia de către organizația respectivă.

Dar trebuie ținut cont, asta dacă fotograf extern acționând ca intermediar nu poate depăși puterile sale. O astfel de depășire ar putea fi cazul în care fotograful ar lua și/sau publica fotografii și videoclipuri în scopuri promoționale din activitatea pe care a desfășurat-o pentru organizație pe site-ul său web în scopul propriei sale promoții. O astfel de utilizare a fotografiilor organizației în scopuri promoționale ale fotografului ar însemna că el a devenit el însuși operator în acea activitate.

Pentru informații: fotograful ca atare poate fi și operatorul însuși, atunci când nu acționează ca urmare a încălcării drepturilor și obligațiilor sale față de un alt operator, dar tu însuți determină scopul și mijloacele prelucrării și va procesa OU la anumite evenimente în nume propriu, îndeplinind în același timp toate obligațiile impuse de GDPR. Un exemplu ar putea fi o situație în care decide să facă fotografii ale persoanelor în cauză pentru a-și crea propriul portofoliu pentru a-și promova activitățile.

Dar despre domeniul de aplicare al GDPR la evenimente private?

În cazul evenimentelor private, uneori este mai dificil de evaluat, indiferent dacă sunt sau nu acoperite de GDPR. GDPR este nu se aplica pentru prelucrarea OU de către persoane fizice ca parte a unei activități pur personale sau domestice.[10] De exemplu, o persoană fizică care și-ar fotografia membrii familiei la o sărbătoare de familie pentru a crea un album foto de familie privat nu ar fi considerată ca un operator care ar suporta obligații atunci când prelucrează OU conform GDPR. Pe de altă parte, am putea considera deja ca operator, de exemplu, o persoană care își fotografiază membrii familiei la o sărbătoare de familie, dar îi publică pe blogul său pentru a-și promova activitatea de fotograf profesionist, ceea ce înseamnă că este exclusiv personal sau activitatea internă, deci nu va funcționa deloc.

Simplul fapt că se vorbește despre evenimente private poate duce la faptul că nicio aplicare a protecției CA nu este luată în considerare și nu mai este deloc domeniul de aplicare al GDPR. Cu toate acestea, acest lucru nu este întotdeauna cazul, deoarece Grupul de lucru WP 29 ne poate convinge, de asemenea, care în trecut a dezvoltat un set de întrebări la care trebuie să se răspundă și să fie luate în considerare înainte ca domeniul de aplicare al legislației privind protecția datelor să fie exclus:

  • Fotografiile sunt distribuite unui număr nedefinit de persoane sau unei comunități limitate de prieteni, familie sau cunoștințe?
  • Acestea sunt fotografii ale unei persoane fizice căreia persoana care le prelucrează nu are nicio relație personală sau internă (de exemplu, atunci când postează pe o rețea socială)?
  • Indică sfera și frecvența prelucrării fotografiilor natura activității profesionale sau cu normă întreagă?
  • Există dovezi că prelucrarea fotografiilor se face de mai multe persoane care acționează într-un mod colectiv și organizat?
  • Există un potențial efect advers asupra persoanei vizate, inclusiv o invazie a vieții private a persoanei vizate?
Ce altceva trebuie luat în considerare atunci când faceți fotografii și videoclipuri ale unor persoane?

Când faceți fotografii și videoclipuri care descriu portrete ale unor persoane, este posibil să întâlniți și dispoziții privind protecția personalității conform Codului civil, deoarece acestea pot reprezenta manifestări de natură personală. Protecția datelor cu caracter personal și protecția personalității sunt două institute legale care sunt direct legate de sfera personalității unei persoane. În unele cazuri pot merge mână în mână, în alte cazuri pot exista independent unul de celălalt. De exemplu, în cazul prelucrării OU în cadrul activităților exclusiv personale și domestice, o astfel de prelucrare nu intră în domeniul de aplicare al GDPR, dar într-un caz specific poate încălca prevederile Codului civil și poate afecta personalul, familia sau viața profesională ca urmare a unei astfel de prelucrări.

Concluzie: Scopul acestui articol este de a oferi o imagine de ansamblu generală asupra problemei și de a oferi câteva exemple pentru a ilustra și reflecta pentru a face mai clară și mai ușor de înțeles protecția datelor cu caracter personal din punctul de vedere al publicului neinteresat. Fiecare caz este diferit și necesită evaluare individuală, așa că nu ezitați să găsiți experți pe probleme specifice care să vă ajute să implementați în mod corespunzător protecția datelor cu caracter personal în procesele interne ale organizației dvs.