Od 2018 roku we wszystkich krajach Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Prawo określa obowiązki wszystkich podmiotów prywatnych i publicznych, które przetwarzają dane osobowe. Dotyczy to również fotografów wykonujących usługi na zlecenie klientów. Jakie kary spotkać mogą fotografa za złamanie przepisów RODO?
RODO do polskiego porządku prawnego wprowadziły dwie ustawy: z 10 maja 2018 o ochronie danych osobowych oraz z 21 lutego 2019 o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
Ochrona danych osobowych
Rozporządzenie RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i większość procesów przetwarzania danych, jednocześnie przyznając osobom, których dane dotyczą, szersze prawa i kontrolę nad informacjami. Każda osoba ma prawo uzyskać od administratora informacje o tym, czy jej dane są przetwarzane, a jeśli tak, to jakie to dane i w jakim celu są przetwarzane.
Osoba, której dane dotyczą, może żądać niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych bądź usunięcia jej danych osobowych. W niektórych przypadkach osoba może żądać ograniczenia przetwarzania jej danych osobowych lub wnieść sprzeciw wobec ich przetwarzania.
Przechowywanie zdjęć
Przetwarzanie danych osobowych obejmuje m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.
Zgodnie z RODO, administratorzy danych osobowych mają szereg obowiązków, których celem jest zapewnienie odpowiedniej ochrony przetwarzanych danych osobowych. Administrator musi m.in. zastosować odpowiednie zabezpieczenia, takie jak szyfrowanie danych, kontrola dostępu czy regularne szkolenia pracowników. Jego obowiązkiem jest także prowadzenie dokumentacji wszystkich operacji przetwarzania danych osobowych.
W przypadku operacji przetwarzania o wysokim ryzyku dla praw i wolności osób fizycznych administrator musi przeprowadzić ocenę skutków takiego przetwarzania. Administrator ma obowiązek zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin od wykrycia naruszenia. W zależności od charakteru naruszenia nieprzestrzeganie przepisów RODO może skutkować karą w wysokości 20 mln euro lub 4 proc. całkowitego rocznego obrotu przedsiębiorstwa.
Galerie prywatne
RODO nie dotyczy prywatnych galerii zdjęć wykorzystywanych wyłącznie w celach osobistych i rodzinnych. Wizerunek osoby jest daną osobową, ale przepisy RODO mają zastosowanie, gdy zdjęcia są przetwarzane w celach komercyjnych, zawodowych lub publicznych.
Do publikacji zdjęć w internecie zazwyczaj potrzebne są zgody osób, których wizerunek jest przedstawiony. Wyjątkiem jest sytuacja, gdy osoba na zdjęciu stanowi jedynie drobny szczegół większej całości lub jest powszechnie dostępna na wydarzeniach publicznych.
Umowy powierzenia
Jeśli fotograf zleca komuś jakieś usługi i jednocześnie przekazuje tej osobie czy podmiotowi dane osobowe, które przetwarza, dochodzi do powierzenia danych. Najczęściej podmiotami przetwarzającymi są podwykonawcy, którzy działają w imieniu administratora, w tym grafik, retuszer, księgowa, informatyk czy dostawca usług w chmurze lub dysponent galerii internetowych.
W przypadku powierzenia danych podmiotowi, który wspiera dostawcę usług w ich świadczeniu, fotograf musi podpisać z podmiotem przetwarzającym umowę powierzenia. Dzieje się tak, gdy m.in. fotograf korzysta z dysków wirtualnych, na których zamieszcza pliki zawierające fotografie z wykonanych sesji, zleca retuszerowi obróbkę zdjęć lub księgowej rozliczenie zawartych umów, przekazując jej dane klientów do wystawienia faktury.
RODO zezwala na zawarcie umowy powierzenia w formie pisemnej, ale także każdej, którą jesteśmy w stanie udokumentować. Mogą to być więc umowy stanowiące część regulaminów lub zawierane przez klikanie checkboksów, czyli interfejsu użytkownika, który umożliwia wybór jednej lub wielu opcji wśród dostępnych możliwości w formularzach czy aplikacjach.
Backup
W dobie cyfrowej, gdzie każda firma i organizacja jest narażona na różne zagrożenia, strategia backupu jest kluczowym elementem zapewniającym przedsiębiorstwu ciągłość działania. Podstawą bezpieczeństwa są kopie zapasowe plików przechowywane na serwerze lub w komputerach. Do utraty danych może dojść na skutek awarii, pożaru, zalania wodą, spięcia elektrycznego czy innego zdarzenia losowego, a także w rezultacie celowego działania osób trzecich, takich jak włamanie i kradzież sprzętu czy lokalny atak ransomware.
Backup umożliwia przywrócenie utraconych danych. Jednym z najlepszych podejść zapewniających bezpieczeństwo w IT jest backup 3-2-1. Ta strategia ochrony danych polega na archiwizowaniu każdego ważnego zbioru danych w trzech kopiach, w tym jednej głównej i dwóch zapasowych. Należy je umieścić na dwóch różnych nośnikach. Są to np. kopia na serwerze VPS, w chmurze lub NAS.
Zgodnie z RODO, w przypadku, gdy do firmy wpłynie wniosek z żądaniem usunięcia danych osobowych, obowiązek ten dotyczy wszystkich rejestrów danych (fotografii), w tym kopii zapasowych.