În cadrul secțiunii Resurse GDPR din cadrul website-ului GDPR Arad vă prezentăm diferite situații practice cu care confruntă persoanele fizice. Iată o astfel de întrebare:
"Dacă ieși într-un restaurant/pub/club și acolo se fac poze de către fotograful lor, care mai apoi sunt postate pe pagina de social media, ai dreptul sau vreo pârghie ca să soliciți ștergerea pozelor în care tu apari? Mulțumesc!" - M.D.
Fotografierea în cadrul unui eveniment public și postarea imaginilor ulterior pe rețelele de socializare a devenit un fapt comun în ultima vreme. Scopul operatorilor este promovarea localului și prezentarea clienților fericiți care beneficiază de serviciile lor. Vom discuta în continuare situațiile care nu se încadrează la fotografierea în scop jurnalistic care este permisă de Regulamentul GDPR.
De cele mai multe ori prelucrarea are la bază urmărirea interesului legitim al operatorilor. Totuși Regulamentul GDPR este ferm când afirmă că interesele individului ar putea, în anumite cazuri, să depășească interesele legitime dacă operatorii intenționează să prelucreze date personale în moduri pe care individul nu le așteaptă în mod rezonabil. Acest lucru se datorează faptului că, în cazul în care prelucrarea este neașteptată, persoanele pierd controlul asupra utilizării datelor și nu pot fi în cunoștință de cauză să iși exercite drepturile.
Așadar ar trebui tratate 2 situații distincte.
Prelucrarea în interes legitim
În această situație operatorul trebuie să ia în primul rând toate măsurile de informare ale clienților că evenimentul la care aceștia iau parte va fi fotografiat și că imaginile rezultate vor fi folosite ca materiale de marketing.
Informarea poate fi pe website-ul operatorului sau sub formă de afiș la intrarea în local.
Informarea trebuie să conțină datele de contact ale operatorului, scopul și temeiul de prelucrare, modul în care are loc prelucrare (de exemplu realizare de fotografii sau materiale video), locurile de plasare a materialelor de marketing rezultate (de exemplu plasarea pe pagina de Facebook), drepturile clienților și modurile de exercitare ale acestora. Operatorul ar trebui să precizeze care sunt zonele în care vor fi făcute fotografii, cine face fotografiile și un mod ușor și practic prin care persoana vizată poate să refuze fotografierea.
GDPR Arad: consultanță personalizată
Implementare complet personalizată a conformității la cerințele GDPR.
Cere acum o ofertăDe exemplu se poate indica ca dacă clientul va sta într-un separeu nu va fi fotografiat, dar dacă va sta la bar este posibil ca să fie fotografiat. O altă variantă ar fi dacă clientul ține un șervețel alb în mână, el va indica fotografului că nu dorește să fie fotografiat.
De asemenea fotograful oficial al evenimentului trebui să fie clar identificat de către clienți, de exemplu prin purtarea unui ecuson cu funcția pe care o ocupă. El ar trebui să țină cont de cerințele clienților chiar dacă aceștia nu respectă plasarea în local sau semnalizarea că nu doresc să fie fotografiați.
Prelucrarea pe baza consimțământului sau a îndeplinirii unui contract
În cazul în care fotografierea are ca scop direct producerea de materiale de marketing, este indicat ca operatorul să întocmească un contract de prestări servicii cu persoanele fizice folosite ca modele sau a unui acord scris pe bază cărora se poate face prelucrarea. Documentele ar trebui să conțină prevederi clare legate de materialele prelucrate, timpul de stocare și modul cum acestea pot fi folosite și de asemenea modul în care folosirea lor poate fi contestat.
Atenție însă, consimțământul poate fi retras oricănd de persoana vizată (chiar dacă prelucrarea datelor anterioară retragerii consimțământului nu va fi afectată)!
Măsuri contractuale
Indiferent de temeiurile de prelucrare, operatorul trebuie să se asigure ca datele sunt prelucrate doar de persoane autorizate. Acestea pot fi angajați proprii, persoane împuternicite sau alți operatori aflați în relații contractuale. Documentele care stabilesc relațiile între părți trebuie să conțină descrierea datelor folosite, instrucțiuni privind prelucrarea și folosirea acestora, stabilirea parametrilor de stocare, precum și stabilirea clara a responsabilităților fiecărei părți.
Toți procesatorii acestor date sunt obligați să adopte măsuri de securitate specifice pentru prelucrarea datelor în condiții optime. Acestea țin de specificul fiecărui operator și pot fi de tipul protejării fizice a spațiilor unde au loc prelucrările, controlul accesului la date prin sisteme de autorizare utilizatori și parolare, folosirea software-ului licențiat, instalarea de soluțiii antivirus, backup-uri de date, instruire personal etc.
Modul de exercitare a drepturilor
Fiecare persoană vizată de prelucrare beneficiază de drepturile reglementate de GDPR.
Dreptul la informare, este cel principal - fiecare persoană ar trebui să fie informată despre cine prelucrează datele, ce fel de date sunt prelucrate, care sunt scopurile și temeiurile prelucrării și care sunt modalitățile de exercitare a lor. Fiecare persoană are dreptul de a face solicitări operatorului privind datele ei personale. Acestea pot fi de tip acces la date, restricționarea prelucrării, stergerea datelor etc.
Totuși drepturile acestea nu sunt absolute și trebuie judecate conform fiecărei situații în parte. Operatorul are datoria de a documenta cererile persoanelor vizate și de a le da un răspuns în termen de 30 de zile (cu posibilitatea de prelungire pentru înca 30 de zile dacă există justificare temeinică).
În mod uzual, dacă o persoană dorește ca datele ei să fie restricționate/șterse și nu există nici o condiție care să împiedice această solicitare, operatorul va trebui să dea curs solicitării fie prin ștergerea completă a imaginilor care vizează respectiva persoană, fie prin luarea măsurilor care vizează anonimarea completă a datelor, ca de exemplu prin blurarea elementelor distrinctive prin intermediul soluțiilor software dedicate.
Operatorul trebuie să ia măsura informării tuturor partenerilor în aceste situații, astfel încât la rândul lor și aceștia să ia măsurile care se impun. La cererea persoanei vizate, operatorul are obligația să comunice aceteia și identitatea părților terțe cărora li s-au divulgat aceste date.