RODO W BRANŻY FOTO

Od kilku miesięcy temat RODO to jeden z najgorętszych tematów prawnych, dotykający wszystkich przedsiębiorców – od banków po małe sklepy internetowe. Tak naprawdę dane osobowe przetwarzamy wszyscy – zaczynając od wystawiania faktur VAT, a na wysyłaniu newslettera kończąc.

Co zmienia RODO? Czy naprawdę należy się go bać? Wskazać należy, że procedury ochrony danych osobowych, i to znacznie bardziej rygorystyczne niż te, których wymaga RODO, obowiązują w Polsce już od blisko 20 lat. Ochrona danych chroniona jest znacznymi karami (do 200 tysięcy złotych), obecna ustawa szczegółowo precyzuje wszelkie techniczne, informatyczne i organizacyjne wymagania związane z przetwarzaniem danych. Dzięki RODO jednak problematyka ochrony danych staje się znów żywym i faktycznym problemem, dzięki czemu każdy obywatel nabywa większej świadomości swoich praw.

Co nam daje RODO?

  1. Jednolite przepisy dla całej UE – przetwarzając dane zgodnie z RODO nie będziemy naruszać praw naszych klientów czy kontrahentów znajdujących się w innych krajach Unii
  2. Odformalizowanie dokumentacji = dobre praktyki – RODO stawia na adekwatność ochrony, nie na sztywnie wyznaczone ramy procedur
  3. Zniesienie obowiązku rejestracji zbiorów danych w GIODO
  4. 20 mln euro kary? – faktycznie jest to wysoka stawka kary. Jednak należy być świadomym, że maksymalna kara będzie nakładana na podmioty, które dopuściły się znacznych naruszeń, na dużą skalę
  5. Częstsze kontrole? – tak może się zdarzyć, ponieważ kary wymierzane na gruncie RODO będą stanowić dochody Skarbu Państwa, tak więc motywacja do kontroli i sprawdzania przedsiębiorców będzie większa.

Oprócz powyższego – musimy mieć podstawę do przetwarzania danych, żeby przetwarzanie zachodziło legalnie. Będzie to (w skrócie, dla branży fotograficznej wybrałam najistotniejsze): przetwarzanie danych w związku z wykonaniem umowy lub podjęcia działań przed jej zawarciem, zgoda albo tak zwane “prawnie uzasadnione interesy administratora” (w co nauka prawa wrzuca marketing bezpośredni usług i produktów administratora – czyli np. newsletter, kwestie związane z obowiązkami księgowo-podatkowymi oraz dotyczące na przykład dochodzenia roszczeń w sądzie).

Musicie pamiętać, że zgoda na przetwarzanie danych musi być uprzednia, wyraźna, dobrowolna, a jej fakt wyrażenia musi zostać udokumentowany przez administratora. Co więcej, w trakcie wyrażania zgody użytkownik musi otrzymać informację, że będzie mógł taką zgodę odwołać w każdym czasie.

Dodatkowo, RODO nakłada na każdego administratora, obowiązek przekazania osobie, której dane osobowe zbiera różnego rodzaju informacji, takich jak:

  1. Tożsamość administratora danych i jego dane kontaktowe
  2. Cel i podstawa prawna przetwarzania
  3. Wskazanie uzasadnionych interesów realizowanych przez administratora, jeżeli na tej podstawie dane są przetwarzane (na przykład do celów marketingu)
  4. Okres przechowywania danych (lub sposób jego ustalenia)
  5. Informacje dot. prawa do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, prawie do wniesienia sprzeciwu oraz prawie do przenoszenia danych
  6. Informacje dot. prawa do cofnięcia zgody w dowolnym momencie
  7. Informacje o prawie wniesienia skargi do organu nadzorczego
  8. Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
  9. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania

Obowiązek ten powinien być spełniony w momencie zbierania danych i zapewnia rzetelność i przejrzystość przetwarzania danych osobowych. Takie informacje będą musiały być podane np. przy zapisie na newsletter czy pod formularzem kontaktowym.

Temat bardzo gorący w branży foto to wizerunek. Wizerunek stanowi dane osobowe – i to już na gruncie obecnej ustawy. RODO tylko ten fakt potwierdza. Jak więc wygląda kwestia legalności przetwarzania danych osobowych – wizerunku – osób utrwalonych na zdjęciach? Jak na razie zdania są podzielone. Wobec każdej osoby, której wizerunek będzie utrwalony (a więc w momencie wykonywania zdjęcia), musimy mieć jakąś podstawę przetwarzania jej danych i spełnić obowiązek informacyjny. Jeżeli fotografujemy osobę, z którą mamy umowę (np. na sesję narzeczeńską) – wtedy przetwarzamy dane w związku z wykonywaniem umowy (a obowiązek informacyjny możemy wpleść w jej treść). Co jednak w przypadku fotografowania większej ilości osób? Duża część prawników uważa, że w takim przypadku powinniśmy uzyskać uprzednią zgodę fotografowanego, np. na piśmie. Jest to wymóg dość kuriozalny i trudny, ale obecne brzmienie RODO nie pozwala na zastosowanie żadnego wybiegu, który pozwoliłby te zagadnienie ominąć.

Małe postscriptum…

Taki komunikat serwuje od kilku dni Facebook…

Weronika Bednarska

SoInLaw