• гражданско право
  • Бизнес право
  • финансово право
  • административно право
  • трудовото законодателство
  • наказателно право
  • Европейско право
  • други правни отдели

Снимките и видеоклиповете представляват относително спорен въпрос в контекста на GDPR [1]. Снимките и видеоклиповете не винаги попадат в обхвата на GDPR и обратно, не винаги могат да бъдат изключени от обхвата и затова е важно да се определят определени прагове. Целта на статията е главно да помогне да се определи кога, защо и в какви ситуации подчиняваме снимките и видеоклиповете, тяхната обработка на областта на защитата на личните данни и как законността на обработката на лични данни може да бъде приложена в илюстрирани ситуации.

видеоклипове

Какви снимки и видеоклипове считаме за подходящи по отношение на БВП

Личните данни (OU) са всяка информация, свързана с идентифицирани или разпознаваеми (разпознаваемо) физическо лице, действащо на позицията на съответното лице. [2] Идентифицируемата природа на физическо лице означава възможността за негова пряка или непряка идентификация, по-специално чрез позоваване на конкретен идентификатор, който може да бъде име, идентификационен номер, данни за местоположението, онлайн идентификатор или препратка към един или повече елементи, специфични за физическия, физиологична, генетична, психическа, икономическа, културна или социална идентичност на това физическо лице.

Снимките, както и видеоклиповете са OU където заснемат портрети на отделни физически лица, върху които тези лица могат да бъдат идентифицирани. Обхватът на информацията, която е достатъчна за идентифициране на физическо лице, винаги зависи от оценката на конкретен случай. Понякога самият портрет е достатъчен и е възможно да се определи точно кой е на снимката, друг път е необходима допълнителна информация. Предпоставката обаче е, че тогава лицето може да бъде идентифицирано, ако без ненужни усилия е възможно да се получи допълнителна информация, позволяваща идентифицирането му. Не е решаващо дали тази допълнителна информация е достъпна за идентифициращото лице или за нечия друга, нито времето за получаване на тази информация е решаващо. Ключът е главно резултатът, в резултат на което заинтересованото лице може да бъде идентифицирано.

Следователно е необходимо да се вземат предвид всички средства, чрез които има разумна вероятност те да бъдат използвани от оператора [3] или от всяко друго лице за идентифициране на съответното лице. [4]

Снимките също могат да се считат за чувствителни?

Предишният закон [5] включваше снимка на физическо лице в специална категория на OU, докато GDPR вече не счита фотографията за чувствителна OU, докато снимката не отговаря на определена част от определението за специална категория на OU. [ 6]

Снимки и видеоклипове следователно те могат да се считат за чувствителни ОУ при определени обстоятелства. Може да върви например на умишлено заснемане на хора или деца, които улавят връзката им с религията, уврежданията, сексуалния живот или сексуалната ориентация.

Някои изображения на лицето също могат да имат характер биометрични данни[7], ако те са резултат от специална техническа обработка, която позволява или потвърждава уникалната идентификация на физическо лице.

За обработката на специална категория лични данни се прилага, че за законосъобразността на обработването е необходимо да се спази едно от изключенията, посочени в чл. 9 ал. 2 ОРЗД.

Където най-често можем да срещнем въпроса за снимките и видеоклиповете, които попадат в общия регламент?

Срещаме ги най-често:

  • за служители на лични карти на служители, презентационни материали и уебсайтове, социални мрежи, интранет или от време на време на визитни картички;
  • за участници в различни събития, например в случай на корпоративни събития, публични културни събития, където се документира техният напредък;
  • за фотографи и оператори в процеса на тяхната професионална дейност;
  • във вестници и списания;
  • в различни социални мрежи.
За какво е необходимо да помислим, за да гарантираме законността на обработката на OÚ при организирани събития?

Определянето на законността на фотографията, правенето на видеоклипове и публикуването им винаги зависи от оценката на конкретен случай и неговите специфики, особено по отношение на предвидените цели за обработка на НУ. Операторът трябва да има адекватно правно основание за всяка цел на обработване на CA в съответствие с чл. 6 ал. 1 GDPR, който определя условията, при които обработването е законно.

Ето няколко примера за ситуации, които служат практическа илюстрация на прилагането на GDPR в съответствие със становището на Службата за защита на личните данни на Словашката република. [8] Основните цели на обработката на OÚ в илюстрираните ситуации са предимно маркетинг, респ. рекламни цели на оператора. Във всеки случай операторът трябва да изпълни задължението за информация в съответствие с чл. 13 и 14 GDPR. Заинтересованото лице трябва да бъде своевременно и своевременно информирано за условията за обработка на ИП. Ако правното основание за обработване на CA е съгласие, операторът е длъжен да информира заинтересованото лице за правото му да оттегли съгласието и ако правното основание е легитимен интерес, за да обоснове правото си да обработи CA.

  • Фирмено събитие:
Първият пример за да се определи подходящото правно основание, има по-голямо корпоративно събитие със 100 служители. Преди деня на събитието операторът информира служителите като участници във фирменото събитие, че на събитието ще бъдат направени снимки и видеоклипове, както и правното основание за такава обработка. [9] Корпоративно събитие обикновено е събитие, където това е възможно предварително идентифицирайте участниците в събитието. В този случай обработката на снимки и видеоклипове като OU може да се извърши въз основа на правното основание на изявлението съгласие. Всяко съгласие обаче не е достатъчно, а такова, което отговаря на условията за предоставяне на съгласие по чл. 7 GDPR. Начинът, по който администраторът получава съгласие за обработката на ЛПС, може да бъде различен, но съгласието на съответното лице трябва да може да бъде доказано от администратора.

Възможността също е разрешена подразбиращо се съгласие изразено с активното действие на заинтересованото лице след изпълнение на условията. Такива условия могат да бъдат например ситуация, при която операторът предварително информира бъдещия субект на данни, че снимки и видеоклипове ще бъдат заснети в демаркирани и ясно маркирани зони/части от стаята по време на фирмено събитие и тези PO ще бъдат публикувани на дъската за обяви на компанията. Операторът предупреждава заинтересованото лице, че ако не се интересува от снимане и запис, няма да влиза в тези маркирани зони, в противен случай чрез активното си действие той изрично се съгласява с условията, за които операторът го е информирал в предупреждението. Операторът би могъл да демонстрира съгласие, например чрез това известие, което ясно информира лицето за условията за неговото съгласие в съответствие с действащата процедура GDPR, приемайки, че това е ситуация, при която лицето има възможност да използва стаята изключително доброволно и по никакъв начин не е принуден (напр. funface photobox).

  • Публично събитие:
Вторият пример е публично събитие, когато организаторът е решил да даде безплатен вход и не е възможно обективно да се ограничи броят на участниците. Това може да бъде например културно събитие в града, което организира различни семинари с цел изграждане на здравословно екологично съзнание. Съгласието, като правно основание за обработката на OU, не може да бъде получено по обективни причини, поради големия, неограничен брой участници в събитието или условията на събитието (отворено и неограничено публично пространство). Като се има предвид това, законността на обработката на OU може да бъде оправдана от легитимен интерес след внимателен положителен тест за пропорционалност, по-специално от факта, че интересът на оператора е оправдан, обработката за тази цел е необходима и законните му интереси не са надвишени от основните права и свободи на засегнатите лица.

В този случай трябва да се отбележи, че дори при такава фотография физическите лица все още имат право не само да възразят срещу фотографията, но също така имат право на защита на личността съгласно Гражданския кодекс.

Каква може да бъде позицията на фотограф на събития в контекста на GDPR?

Оператор, например организация може да прави снимки или видеоклипове на събития, които организира с промоционални цели самостоятелно или чрез упълномощени от него лица, на които той е поверил дадената обработка и ги е инструктирал в съответствие с GDPR. По този начин позицията на фотографа се изпълнява от самия оператор и той не трябва да кани друго външно лице за това.

Вторият вариант, което операторът може да избере, е да сключи договор за производство или публикуване на снимки и видеоклипове на външен фотограф. Външен фотограф в този случай тя ще бъде обработена от УО. в позицията на медиатор, и по този начин ще обработва снимките от името на организацията за целта, която й е възложена от тази организация.

Но трябва да се има предвид, че ако външен фотограф действащ като посредник не може да надвишава правомощията си. Такъв превишение може да бъде случаят, когато фотографът би направил и/или публикувал снимки и видеоклипове с промоционални цели от дейността, която е извършил за организацията на своя уебсайт с цел собствената си промоция. Такова използване на снимките на организацията за собствени рекламни цели на фотографа би означавало, че той сам е станал оператор в тази дейност.

За информация: Фотографът като такъв може да бъде и самият оператор, когато не действа в резултат на нарушаване на неговите права и задължения спрямо друг оператор, но вие самите определя целта и средствата на обработката и ще обработва OU на някои събития от свое име, като същевременно изпълнява всички свои задължения, наложени му от GDPR. Пример може да бъде ситуация, в която той решава да заснеме заинтересованите лица, за да създаде свое собствено портфолио за популяризиране на неговите дейности.

Ами обхватът на GDPR на частни събития?

В случай на частни събития, понякога е по-трудно да се направи оценка, независимо дали са обхванати от GDPR или не. GDPR е не се прилага за обработка на OU от физически лица като част от чисто лична или домашна дейност.[10] Например физическо лице, което би снимало членове на семейството си на семейно тържество, за да създаде частен семеен фотоалбум, не би се считало за оператор, който би поел задължения при обработка на OU съгласно GDPR. От друга страна, вече бихме могли да разглеждаме като оператор, например човек, който снима членове на семейството си на семейно тържество, но ги публикува в своя блог, за да популяризира дейността си като професионален фотограф, което означава, че изключително личен или домашна дейност, така че изобщо няма да работи.

Самият факт, че се говори за частни събития, може да доведе до факта, че не се разглежда никакво приложение на защитата на CA и изобщо не е обхват на GDPR. Това обаче не винаги е така, тъй като Работната група WP 29 също може да ни убеди, която в миналото е разработила набор от въпроси, на които трябва да се отговори и разгледа, преди да бъде изключен обхватът на законодателството за защита на данните:

  • Снимките се разпространяват на неопределен брой хора или на ограничена общност от приятели, семейство или познати?
  • Това са снимки на физическо лице, към което лицето, което ги обработва, няма лични или битови отношения (например при публикуване в социална мрежа)?
  • Показва обхвата и честотата на обработка на снимките естеството на професионалната или целодневна дейност?
  • Има доказателства, че обработката на снимки се извършва от няколко души, действащи колективно и организирано?
  • Съществува потенциален неблагоприятен ефект върху субекта на данни, включително нарушаване на поверителността на субекта на данни?
Какво друго трябва да се вземе предвид при правенето на снимки и видеоклипове на лица?

Когато правите снимки и видеоклипове, които изобразяват портрети на лица, може да срещнете и разпоредби относно защита на личността съгласно Гражданския кодекс, тъй като те могат да представляват прояви от личен характер. Защитата на личните данни и защитата на личността са два правни института, които са пряко свързани с личната сфера на дадено лице. В някои случаи те могат да вървят ръка за ръка, в други случаи те могат да съществуват независимо един от друг. Например, в случай на обработка на OU в рамките на изключително лични и битови дейности, такава обработка не попада в обхвата на GDPR, но в конкретен случай може да наруши разпоредбите на Гражданския кодекс и да причини вреда на лични, семейни или професионален живот в резултат на такава обработка.

Заключение: Целта на тази статия е да предостави общ преглед на проблема и да предостави няколко примера, които да илюстрират и отразят, за да направят защитата на личните данни по-ясна и по-разбираема от гледна точка на незаинтересованата общественост. Всеки случай е различен и изисква индивидуална оценка, така че не се колебайте да намерите експерти по конкретни въпроси, които ще ви помогнат правилно да внедрите защитата на личните данни във вътрешните процеси на вашата организация.