Aké fotografie a videá považujeme za relevantné z hľadiska GDP

Osobné údaje (OÚ) sú akékoľvek informácie týkajúce sa identifikovanej (určenej) alebo identifikovateľnej (určiteľnej) fyzickej osoby, ktorá vystupuje v pozícii dotknutej osoby.[2] Identifikovateľnosť fyzickej osoby znamená možnosť jej priamej alebo nepriamej identifikácie, najmä odkazom na určitý relevantný identifikátor, ktorým môže byť meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkaz na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Fotografie ako aj videá sú OÚ v prípade, keď zachytávajú podobizne jednotlivých fyzických osôb, na ktorých možno tieto osoby identifikovať. Rozsah informácii, ktoré postačia na identifikáciu fyzickej osoby, záleží vždy od posúdenia konkrétneho prípadu. Niekedy postačí samotná podobizeň a je možné presne určiť kto je na fotografii, inokedy je potrebná ďalšia dodatočná informácia. Platí však premisa, že osoba je identifikovateľná vtedy, ak bez vynaloženia neprimeraného úsilia je možné získať doplňujúce informácie umožňujúce jej identifikáciu. Nie je rozhodujúce, či sú tieto doplňujúce informácie v dispozícii identifikujúcej osoby alebo sú v dispozícii niekoho iného, a rovnako ani nie je rozhodujúci čas získania týchto informácii. Kľúčovým je hlavne výsledok, v dôsledku ktorého je možné dotknutú osobu identifikovať.

Je teda potrebné vziať do úvahy všetky prostriedky, pri ktorých je primeraná pravdepodobnosť, že ich využije prevádzkovateľ[3] alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby.[4]

Môžu byť fotografie považované aj za citlivé OÚ?

Predošlý zákon[5] zaraďoval fotografiu fyzickej osoby do osobitnej kategórie OÚ, pričom GDPR už fotografiu za citlivý OÚ nepovažuje, a to až do momentu kým fotografia nenaplní niektorú časť definície osobitnej kategórie OÚ.[6]

Fotografie a videá môžu byť teda za určitých okolností považované za citlivé OÚ. Môže ísť napríklad o zámerné fotografovanie ľudí alebo detí, ktoré zachytávajú ich vzťah k náboženstvu, prejavy zdravotných hendikepov, sexuálny život alebo sexuálnu orientáciu.

Určité nasnímania tváre môžu mať tiež povahu biometrických údajov[7], ak sú výsledkom osobitného technického spracúvania, ktoré umožňuje alebo potvrdzuje jedinečnú identifikáciu fyzickej osoby.

Pre spracúvanie osobitnej kategórie osobných údajov platí, že pre zákonnosť spracúvania je potrebné splniť niektorú z výnimiek určenú v čl. 9 ods. 2 GDPR.

Kde sa najčastejšie môžeme stretávať s problematikou fotografií a videí, ktoré spadajú pod GDPR?

Najčastejšie sa s nimi stretávame:

• pri zamestnancoch na zamestnaneckých preukazoch, prezentačných materiáloch a internetových stránkach, sociálnych sieťach, intranete, prípadne ojedinele aj na vizitkách;
• pri účastníkoch rôznych podujatí, napríklad v prípade firemných akcií, verejných kultúrnych podujatí, kde sa dokumentuje ich priebeh;
• pri fotografoch a kameramanoch v rámci výkonu ich profesijnej činnosti;
• v novinách a časopisoch;
• na rôznych sociálnych sieťach.

Na čo je potrebné myslieť, aby bola zabezpečená zákonnosť spracúvania OÚ na organizovaných podujatiach?

Vymedzenie zákonnosti  fotografovania, zhotovovania videí a ich zverejňovania, závisí vždy od posúdenia konkrétneho prípadu a jeho špecifík, najmä z hľadiska stanovených účelov spracúvania OÚ. Prevádzkovateľ musí pre každý účel spracúvania OÚ disponovať primeraným právnym základom v súlade s čl. 6 ods. 1 GDPR, ktorý vymedzuje podmienky, za ktorých je spracúvanie zákonné.

Uvádzame príklady situácii, ktoré slúžia na praktickú ilustráciu implementovania GDPR v súlade so stanoviskom Úradu na ochranu osobných údajov SR.[8] Hlavnými účelmi spracúvania OÚ v ilustrovaných situáciách sú najmä marketingové, resp. propagačné účely prevádzkovateľa. V každom prípade si prevádzkovateľ musí splniť informačnú povinnosť v zmysle čl. 13 a 14 GDPR. Dotknutá osoba musí byť riadne a včas informovaná o podmienkach spracúvania OÚ. V prípade, ak právnym základom spracúvania OÚ je súhlas, prevádzkovateľ má povinnosť informovať dotknutú osobu o jej práve súhlas odvolať, a v prípade ak je právnym základom oprávnený záujem, o jej práve namietať dané spracúvanie OÚ.

• Firemné podujatie:
  

Prvým príkladom pre stanovenie vhodného právneho základu je väčšie firemné podujatie, kde sa má zúčastniť 100 zamestnancov. Prevádzkovateľ pred dňom konania podujatia informuje zamestnancov, ako účastníkov firemného podujatia, že sa na akcii budú vyhotovovať fotografie a videá, a tiež o právnom základe takéhoto spracúvania.[9] Firemné podujatie je väčšinou podujatie, kde je možné vopred identifikovať účastníkov akcie. V tomto prípade by mohlo byť spracúvanie fotografií a videí ako OÚ uskutočnené na právnom základe vyjadrenia súhlasu. Nestačí však akýkoľvek súhlas, ale taký, ktorý spĺňa podmienky poskytnutia súhlasu podľa čl. 7 GDPR. Spôsob, akým si prevádzkovateľ zabezpečí súhlas so spracúvaním OÚ môže byť rôzny, avšak platí, že súhlas dotknutej osoby musí vedieť prevádzkovateľ preukázať.

Pripúšťaná je aj možnosť konkludentného súhlasu vyjadreného aktívnym konaním dotknutej osoby po splnení podmienok. Takýmito podmienkami môže byť napríklad situácia, kedy prevádzkovateľ vopred informuje budúcu dotknutú osobu, že na firemnom podujatí, sa budú vyhotovovať fotografie a videá vo vymedzených a zreteľne označených priestoroch / častiach miestnosti, a tieto OÚ sa budú následne zverejňovať na firemnej nástenke.  Prevádzkovateľ dotknutú osobu upozorní, že v prípade, ak nemá záujem byť fotografovaná a zaznamenávaná, nebude vchádzať do týchto označených priestorov, v opačnom prípade svojím aktívnym konaním vyjadruje konkludentný súhlas s podmienkami, o ktorých ju prevádzkovateľ v upozornení informoval.  Prevádzkovateľ by mohol súhlas preukázať napríklad týmto upozornením, ktoré jasne informuje osobu o podmienkach vyjadrenia jej súhlasu v súlade s GDPR aktívnym konaním, pričom možno predpokladať, že ide o situáciu, kedy osoba túto miestnosť má možnosť využiť výhradne dobrovoľne, a nie je k tomu nijakým spôsobom nútená (napríklad funface fotobox).

• Verejné podujatie:
  

Druhým príkladom je verejné podujatie, kde sa organizátor rozhodol dať voľný vstup, a nie je možné objektívne ohraničiť počet účastníkov. Môže ísť napríklad o kultúrne podujatie mesta, ktoré organizuje rôzne workshopy so zámerom budovania zdravého ekologického povedomia. Súhlas, ako právny základ spracúvania OÚ, z objektívnych príčin nemožno získať, vzhľadom na veľký, nelimitovaný počet účastníkov akcie, či podmienky konania podujatia (otvorené a neohraničené verejné priestranstvo). Vzhľadom k tomu by bolo možné zákonnosť spracúvania OÚ odôvodniť oprávneným záujmom po starostlivom vykonaní pozitívneho testu proporcionality, najmä tým, že záujem prevádzkovateľa je oprávnený, spracúvanie pre daný účel je nevyhnutné a nad jeho oprávnenými záujmami neprevažujú základné práva a slobody dotknutých osôb.

V tomto prípade je potrebné podotknúť, že aj pri takomto zhotovovaní fotografií majú fyzické osoby stále právo nielen namietať proti zhotovovaniu fotografií, ale majú právo aj na ochranu osobnosti podľa Občianskeho zákonníka.

Aká môže byť pozícia fotografa na podujatiach v kontexte GDPR?

Prevádzkovateľ, ktorým je napríklad určitá organizácia, môže zhotovovať fotografie alebo videá na podujatiach, ktoré organizuje, na propagačné účely sám alebo prostredníctvom svojich oprávnených osôb, ktorých daným spracúvaním poveril a poučil ich v súlade s GDPR. Pozíciu fotografa tak vykonáva sám Prevádzkovateľ a nepotrebuje na to prizvať inú externú osobu.

Druhou možnosťou, ktorú si môže prevádzkovateľ vybrať je, že zazmluvní na zhotovovanie, prípadne zverejnenie  fotografií a videí externého fotografa. Externý fotograf v takom prípade bude spracúvať OÚ v pozícii sprostredkovateľa, a teda bude spracúvať fotografie v mene danej organizácie na účel, ktorý mu táto organizácia určila.

Treba mať však na pamäti, že pokiaľ externý fotograf koná ako sprostredkovateľ, nesmie prekročiť svoje oprávnenia. Takýmto prekročením by mohol byť prípad, kedy by fotograf zhotovil a/alebo zverejnil fotografie a videá na propagačné účely z činnosti, ktorú vykonával pre organizáciu na svojej web stránke, za účelom jeho vlastnej propagácie. Takéto použitie fotografií organizácie na vlastné propagačné účely fotografa by znamenalo, že sa stal v tej činnosti sám prevádzkovateľom.

Pre informáciu: Fotograf ako taký môže byť tiež hneď sám prevádzkovateľom, kedy nekoná v dôsledku porušenia svojich oprávnení a povinností voči inému prevádzkovateľovi, ale sám si určí účel a prostriedky spracúvania a bude spracúvať OÚ na nejakých podujatiach vo vlastnom mene a zároveň si splní všetky svoje povinnosti, ktoré mu ukladá GDPR. Príkladom by mohla byť situácia, keď si určí, že bude vyhotovovať fotografie dotknutých osôb s cieľom vytvorenia vlastného portfólia určeného na propagáciu svojej činnosti.

Ako je to s pôsobnosťou GDPR na súkromných podujatiach?

V prípade súkromných podujatí je niekedy ťažšie posúdiť, či sa na nich GDPR vzťahuje alebo nie. GDPR sa totiž nevzťahuje na spracúvanie OÚ fyzickými osobami v rámci výlučne osobnej alebo domácej činnosti.[10] Napríklad, fyzickú osobu, ktorá by fotografovala svojich rodinných príslušníkov na rodinnej oslave za účelom vytvárania súkromného rodinného fotoalbumu by sme nepovažovali za prevádzkovateľa, ktorému by vznikali povinnosti pri spracúvaní OÚ podľa GDPR.  Na druhej strane, za prevádzkovateľa by sme už mohli považovať napríklad osobu, ktorá síce fotografuje svojich rodinných príslušníkov na rodinnej oslave, ale zverejňuje ich na svojom blogu za účelom propagácie svojej činnosti ako profesionálneho fotografa, čo znamená, že o výlučne osobnú alebo domácu činnosť tak celkom nepôjde.

Už len samotný fakt, že sa hovorí o súkromných podujatiach môže viesť k tomu, že sa neuvažuje o akejkoľvek aplikácii ochrany OÚ a už vôbec nie o pôsobnosti GDPR. Nie vždy je však takéto konanie správne, o čom nás môže tiež presvedčiť Pracovná skupina WP 29, ktorá v minulosti vytvorila súbor otázok, ktoré si je potrebné zodpovedať a zamyslieť sa nad nimi pred tým, ako sa pôsobnosť právnej úpravy ochrany osobných údajov vylúči:

• Sú fotografie šírené neurčitému počtu osôb alebo k obmedzenému spoločenstvu priateľov, rodinných príslušníkov či známych?
• Ide o fotografie fyzickej osoby, ku ktorej nemá osoba, ktorá ich spracúva žiadny osobný ani domáci vzťah (napr. pri uverejnení na sociálnu sieť)?
• Naznačuje rozsah a frekvencia spracúvania fotografií charakter profesionálnej činnosti  alebo činnosti vykonávanej na plný úväzok?
• Existujú dôkazy o tom, že spracúvanie fotografií vykonáva viacero osôb konajúcich kolektívne a organizovaným spôsobom?
• Existuje potenciálny nepriaznivý vplyv na dotknuté osoby vrátane zásahu do súkromia dotknutej osoby?

Na čo je ešte potrebné dávať pozor pri vyhotovovaní fotografií a videí fyzických osôb?

Pri fotografovaní a videách, ktoré zobrazujú podobizne fyzických osôb možno naraziť aj na ustanovenia o ochrane osobnosti podľa Občianskeho zákonníka, nakoľko môžu predstavovať prejavy osobnej povahy. Ochrana osobných údajov a ochrana osobnosti sú dva právne inštitúty, ktoré bezprostredne súvisia s osobnostnou sférou jednotlivca. V niektorých prípadoch môžu ísť ruka v ruke, v iných prípadoch môžu existovať nezávisle vedľa seba. Napríklad v prípade spracúvania OÚ v rámci výlučne osobných a domácich činností, toto spracúvanie nespadá pod pôsobnosť GDPR, ale v konkrétnom prípade môže znamenať pre fyzickú osobu porušenie ustanovení Občianskeho zákonníka a spôsobiť ujmu v osobnom, rodinnom alebo profesijnom živote v dôsledku daného spracúvania.

Záver: Obsah tohto článku má za úlohu poskytnúť všeobecný prehľad k predmetnej otázke a poskytnúť niekoľko príkladov na ilustráciu a zamyslenie, aby sa ochrana osobných údajov stala jasnejšia a  pochopiteľnejšia aj z pohľadu nezainteresovanej verejnosti. Každý prípad je iný a vyžaduje  individuálne posúdenie, preto neváhajte v špecifických otázkach vyhľadať odborníkov, ktorí Vám pomôžu správne implementovať ochranu osobných údajov do vnútorných procesov vašej organizácie.