• polgári jog
  • Üzleti jog
  • pénzügyi törvény
  • közigazgatási jog
  • Munkatörvény
  • bűnügyi törvény
  • Európai jog
  • egyéb jogi osztályok

A fotók és videók viszonylag ellentmondásos kérdést mutatnak be a GDPR összefüggésében [1]. A fényképek és videók nem mindig tartoznak a GDPR hatálya alá és fordítva, nem mindig zárhatók ki a hatályból, és ezért fontos meghatározni bizonyos küszöböket. A cikk célja elsősorban az, hogy segítsen meghatározni, hogy mikor, miért és milyen helyzetekben rendeljük alá a fotókat és videókat, azok feldolgozását a személyes adatok védelme területének, és hogyan valósítható meg a személyes adatok feldolgozásának törvényessége illusztrált helyzetekben.

gdpr-től

Milyen fotókat és videókat tekintünk relevánsnak a GDP szempontjából

A személyes adatok (OU) a következőkkel kapcsolatos információk azonosított vagy azonosítható (azonosítható) természetes személy, aki az érintett személy pozíciójában jár el. [2] A természetes személy azonosítható jellege közvetlen vagy közvetett azonosításának lehetőségét jelenti, különös tekintettel egy meghatározott azonosítóra, amely lehet név, azonosító szám, helyadatok, online azonosító vagy hivatkozás a fizikai jellemzők egy vagy több elemére., fiziológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi identitás.

A fotók és videók OU ahol olyan természetes személyek arcképeit rögzítik, amelyeken azonosítani lehet ezeket a személyeket. A természetes személy azonosításához elegendő információ mértéke mindig egy adott eset megítélésétől függ. Néha maga a portré elegendő, és pontosan meg lehet határozni, ki szerepel a fotón, máskor további információkra van szükség. Azonban az a feltevés, hogy a személy akkor azonosítható, ha indokolatlan erőfeszítések nélkül lehetséges további információk beszerzése, amelyek lehetővé teszik annak azonosítását. Nem döntő, hogy ez a kiegészítő információ elérhető-e az azonosító vagy más személy számára, és nem is meghatározó az információ megszerzésének ideje. A kulcs főleg az eredmény, amelynek eredményeként az érintett személy azonosítható.

Ezért minden olyan eszközt figyelembe kell venni, amelyekkel ésszerű a valószínűsége annak, hogy az üzemeltető [3] vagy bármely más személy felhasználja őket az érintett személy azonosítására. [4]

A fényképek szintén érzékenynek tekinthetők?

Az előző törvény [5] egy természetes személy fényképét tartalmazta az OU különleges kategóriájába, míg a GDPR már nem tekinti a fényképezést érzékeny szervezeti egységnek, amíg a fénykép nem felel meg az OU speciális kategóriájának meghatározásának bizonyos részének. 6]

Fotók és videók ezért bizonyos körülmények között érzékeny szervezeti egységeknek tekinthetők. Mehet például szándékosan olyan emberek vagy gyermekek fényképezése, akik vallásukhoz, fogyatékosságukhoz, szexuális életükhöz vagy szexuális irányultságukhoz való viszonyukat örökítik meg.

Bizonyos arcképek szintén jellegűek lehetnek biometrikus adatok[7], ha azok speciális technikai feldolgozás eredményeként jöttek létre, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását.

A személyes adatok speciális kategóriájának feldolgozásához azt kell alkalmazni, hogy a kezelés jogszerűségéhez meg kell felelni az Art. 9. bekezdés 2 GDPR.

Ahol leggyakrabban a GDPR hatálya alá tartozó fotók és videók kérdésével találkozhatunk?

Leggyakrabban találkozunk velük:

  • alkalmazottak személyi igazolványokon, bemutató anyagokon és weboldalakon, közösségi hálózatokon, intraneten vagy alkalmanként névjegykártyákon;
  • különféle események résztvevői számára, például vállalati rendezvények, nyilvános kulturális események esetében, ahol az előmenetelüket dokumentálják;
  • fotósok és operatőrök számára szakmai tevékenységük során;
  • újságokban és folyóiratokban;
  • különféle közösségi hálózatokon.
Mire kell gondolni az OÚ szervezett rendezvényeken történő feldolgozásának jogszerűségének biztosítása érdekében?

A fényképezés törvényességének meghatározása, videók készítése és közzététele mindig függ egy adott eset megítélésétől és annak sajátosságaitól, különös tekintettel az OU feldolgozásának rendeltetésére. Az üzemeltetőnek megfelelő jogalapdal kell rendelkeznie a CA igazgatásának minden egyes céljára az Art. 6. bekezdés 1 GDPR, amely meghatározza azokat a feltételeket, amelyek mellett a feldolgozás jogszerű.

Íme néhány példa azokra a helyzetekre, amelyek szolgálnak gyakorlati illusztrációja a GDPR végrehajtásának a Szlovák Köztársaság Személyes Adatvédelmi Hivatalának véleményével [8]. Az ábrázolt helyzetekben az OÚ feldolgozásának fő célja elsősorban a marketing, ill. az üzemeltető promóciós céljai. Az üzemeltetőnek minden esetben eleget kell tennie a tájékoztatási kötelezettségnek a Kbt. GDPR 13. és 14. sz. Az érintett személyt kellő időben és időben tájékoztatni kell az IP feldolgozásának feltételeiről. Ha a CA feldolgozásának jogalapja a hozzájárulás, az üzemeltető köteles tájékoztatni az érintett személyt a hozzájárulás visszavonásának jogáról, és ha a jogalap jogos érdek, igazolja a CA feldolgozásához való jogát.

  • Céges rendezvény:
Az első példa a megfelelő jogalap meghatározása érdekében van egy nagyobb vállalati rendezvény, 100 alkalmazottal. Az üzemeltető az esemény napja előtt az üzemeltető tájékoztatja az alkalmazottakat, mint a vállalati rendezvény résztvevőit, hogy a rendezvényen fényképeket és videókat készítenek, valamint az ilyen feldolgozás jogalapját. [9] A vállalati esemény általában olyan esemény, ahol lehetséges előzetesen azonosítsa az esemény résztvevőit. Ebben az esetben a fényképek és videók OU-ként történő feldolgozása a nyilatkozat jogalapján végezhető beleegyezés. Bármely beleegyezés azonban nem elegendő, hanem olyan, amely megfelel a hozzájárulás megadásának a Kbt. 7 GDPR. Az adatkezelő hozzájárulása az egyéni védőeszközök feldolgozásához eltérő lehet, de az érintett személy beleegyezését az adatkezelőnek bizonyítania kell.

A lehetőség is megengedett hallgatólagos beleegyezés a feltételek teljesülése után az érintett személy aktív fellépése fejezi ki. Ilyen feltételek lehetnek például az a helyzet, amikor az üzemeltető előzetesen tájékoztatja a jövőbeni érintettet arról, hogy fényképeket és videofelvételeket készítenek egy elhatárolt és világosan megjelölt helyiségeken/helyiségrészeken egy céges rendezvényen, majd ezeket a PO-kat felkerülnek a cég hirdetőtábláján. Az üzemeltető figyelmezteti az érintettet, hogy ha nem érdekli a fényképezés és a felvétel, akkor nem lép be ezekre a megjelölt területekre, ellenkező esetben aktív tevékenységével kifejezetten egyetért azzal a feltétellel, amelyről az üzemeltető tájékoztatta őt a figyelmeztetésben. Az üzemeltető beleegyezését bizonyíthatja például ezen értesítés útján, amely egyértelműen tájékoztatja a személyt a hozzájárulása feltételeiről a GDPR aktív eljárásának megfelelően, feltételezve, hogy ez olyan helyzet, amikor az illetőnek lehetősége van a helyiség kizárólag önkéntes használatára. és semmilyen módon nem kényszerített (pl. funface photobox).

  • Nyilvános esemény:
A második példa egy nyilvános esemény, ahol a szervező úgy döntött, hogy ingyenes belépést ad, és nem lehet objektíven korlátozni a résztvevők számát. Ez lehet például a város kulturális eseménye, amely különféle műhelyeket szervez az egészséges környezettudatosság építése céljából. A hozzájárulás, mint az OU feldolgozásának jogalapja, objektív okokból nem szerezhető meg, a rendezvényen résztvevők nagy, korlátlan száma, vagy az esemény körülményei (nyitott és korlátlan nyilvános tér) miatt. Ezt figyelembe véve az OU-feldolgozás jogszerűségét a gondos pozitív arányossági tesztet követő jogos érdek igazolhatja, különösen azzal, hogy az üzemeltető érdeke indokolt, az ilyen célú feldolgozás szükséges, és jogos érdekeit nem nyomják felül az alapvető jogok. és az érintett személyek szabadságai.

Ebben az esetben meg kell jegyezni, hogy a természetes személyeknek még ilyen fénykép mellett is joguk van nemcsak kifogást emelni a fénykép ellen, hanem joguk van a Polgári Törvénykönyv szerinti személyiségvédelemhez is.

Mi lehet a fotós helyzete az eseményeken a GDPR összefüggésében?

Operátor, például egy szervezet fényképeket vagy videókat készíthet promóciós célokra szervezett eseményeken egyedül vagy arra felhatalmazott személyek útján, amelyet az adott feldolgozással bízott meg és a GDPR-nek megfelelően utasította őket. A fotós pozícióját tehát maga az Üzemeltető látja el, és nincs szüksége arra, hogy erre külső személyt hívjon meg.

A második lehetőség, amelyet az üzemeltető választhat, hogy szerződést köt egy külső fotós fényképeinek és videóinak előállítására vagy közzétételére. Külső fotós ebben az esetben a CA dolgozza fel. közvetítői pozícióban, és így a szervezet nevében feldolgozza a fényképeket a szervezet által kijelölt cél érdekében.

De szem előtt kell tartani, hogy ha külső fotós a közvetítői tevékenység nem haladhatja meg hatáskörét. Ilyen túllépés lehet az az eset, amikor a fotós promóciós célból fényképeket és videókat készít és/vagy közzétesz a szervezet számára a saját promóciója céljából a szervezet számára végzett tevékenységből. A szervezet fényképeinek ilyen felhasználása a fotós saját promóciós céljaira azt jelentené, hogy ő maga lett az operátor.

Tájékoztatásul: A fotós mint maga a kezelő is lehet, amikor nem egy másik üzemeltetővel szemben fennálló jogainak és kötelezettségeinek megsértése miatt jár el, de te magad meghatározza a feldolgozás célját és eszközeit, és egyes esetekben a saját nevében feldolgozza az OU-t, miközben teljesíti a GDPR által ráruházott összes kötelezettségét. Példaként említhető egy olyan helyzet, amikor úgy dönt, hogy fényképet készít az érintett személyekről, hogy saját portfólióját hozza létre tevékenységének elősegítése érdekében.

Mi a helyzet a GDPR hatályával a magánrendezvényeken?

A magánrendezvények esetében időnként nehezebb értékelni, hogy a GDPR hatálya alá tartozik-e vagy sem. A GDPR az nem vonatkozik az OU természetes személyek általi feldolgozásához pusztán személyes vagy házi tevékenység részeként.[10] Például az a természetes személy, aki családi ünnepeken fotózza le családtagjait egy privát családi fotóalbum létrehozása érdekében, nem tekinthető üzemeltetőnek, akinek kötelezettségei merülnének fel az OU feldolgozása során a GDPR szerint. Másrészt üzemeltetőnek tekinthetnénk például azt a személyt, aki családi ünnepségen fényképezi családtagjait, de közzéteszi őket a blogján annak érdekében, hogy hivatásos fotós tevékenységét népszerűsítse, ami azt jelenti, hogy kizárólag személyes vagy hazai tevékenység, így egyáltalán nem fog működni.

Pusztán az a tény, hogy privát eseményekről van szó, oda vezethet, hogy a CA védelmének semmilyen alkalmazását nem veszik figyelembe, és már egyáltalán nem terjed ki a GDPR hatályára. Ez azonban nem mindig így van, mivel a WP 29 munkacsoport is meggyőzhet minket, amely a múltban olyan kérdéseket dolgozott ki, amelyek megválaszolására és megvizsgálására szükség van, mielőtt kizárnák az adatvédelmi jogszabályok hatályát:

  • A fényképeket határozatlan számú embernek vagy korlátozott baráti, családi vagy ismerős közösségnek terjesztik?
  • Ezek egy természetes személy fényképei, akikkel az őket feldolgozó személynek nincs személyes vagy házi kapcsolata (pl. Közösségi hálózathoz történő posztoláskor)?
  • Jelzi a fotófeldolgozás körét és gyakoriságát, a szakmai vagy teljes munkaidős tevékenység jellegét?
  • Bizonyíték van arra, hogy a fotófeldolgozást több ember végzi kollektíven és szervezetten?
  • Potenciálisan káros hatással lehet az érintettre, ideértve az érintett magánéletének megsértését?
Mit kell még figyelembe venni az egyének fényképezésénél és videóinál?

Fotók és videók készítésekor, amelyek egyének portréját ábrázolják, találkozhat a következőkkel kapcsolatos rendelkezésekkel is a személyiség védelme a Polgári Törvénykönyv szerint, mivel személyes jellegű megnyilvánulásokat jelenthetnek. A személyes adatok védelme és a személyiségvédelem két jogi intézmény, amelyek közvetlenül kapcsolódnak az egyén személyiségi szférájához. Bizonyos esetekben kéz a kézben járhatnak, más esetekben egymástól függetlenül létezhetnek. Például az OU kizárólag személyes és háztartási tevékenységek keretében történő feldolgozása esetén az ilyen feldolgozás nem tartozik a GDPR hatálya alá, de egy adott esetben megsértheti a Polgári Törvénykönyv rendelkezéseit, és kárt okozhat a személyes, a családi vagy a szakmai élet ilyen feldolgozás eredményeként.

Következtetés: E cikk célja, hogy általános áttekintést adjon a kérdésről, és néhány példát közöljön szemléltetésre és reflektálásra annak érdekében, hogy a személyes adatok védelme az érdektelen nyilvánosság szempontjából egyértelműbb és érthetőbb legyen. Mindegyik eset más és egyedi értékelést igényel, ezért ne habozzon megkeresni olyan szakértőket bizonyos kérdésekben, akik segítenek a személyes adatok védelmének a szervezet belső folyamataiban történő megfelelő megvalósításában.