Blog

RODO na Weselu

Michał Komarnicki

Od czasu obowiązywania RODO w polskiej rzeczywistości upłynęło już trochę czasu . Wprowadziło ono nie mało zamieszania do naszego mało skomplikowanego życia
i codziennego funkcjonowania. RODO odcisnęło piętno na każdym aspekcie naszej egzystencji. Jego skutki odczuwalne są wszędzie tam, gdzie jest to możliwe. Idąc do przychodni nie jesteśmy już pacjentem ale numerem w poczekalni, który zyskuje „twarz” i osobowość dopiero z momentem spotkania z lekarzem w gabinecie.
Nie zawsze tak było, ale zawsze tak być powinno – przynajmniej w określonym
i zdroworozsądkowym zakresie. Trzeba jednka przyznać, iż przed wejściem w życie RODO, mało kto był zainteresowany ochroną danych osobowych. W obrocie prawnym funkcjonowała ustawa o ochronie danych osobowych z 1997 r., która regulowała przedmiot, ale jej stosowanie ograniczone było do grona „wielkich” przetwarzających lub administratorów. Banki, instytucje finansowe i inne podmioty przetwarzające terabajty danych osobowych, miały w swoich szeregach Administratorów Bezpieczeństwa Informacji (ABI) i szeroko rozbudowane wydziały compliance stojące na straży przestrzegania krajowych przepisów.
Od czasu wejścia w życie nowej regulacji wiele się zmieniło – ABI zmienił się w IOD (Inspektor Ochrony Danych Osobowych), GIODO w PUODO etc. RODO wkroczyło w nasze życie – od fotografa, poprzez restauratora aż po urzędnika.
Nie bez przyczyny wskazałem powyżej fotografa, restauratora i urzędnika. Te trzy postacie, jak najbardziej wpisują się w weselny krajobraz.
Jak bowiem nowa regulacja odnosi się do organizacji wesela? Na jakiej podstawie fotograf (profesjonalista) może utrwalać wizerunek osoby i gości? Czy restaurator przyjmujący
i drukujący listę gości zobowiązany jest do uzyskania stosownych zgód czy zawarcia umowy powierzenia z podwykonawcami?
RODO a fotograf ślubny
Zacznijmy może od tego, że wizerunek jest, a właściwie może być, daną osobową.
Daną osobową najbardziej wymowną ze wszystkich. Dlaczego?
O ile takie samo nazwisko może nosić kilkadziesiąt osób, o tyle wizerunek jest w pełni spersonalizowany (pomijam kwestie bliźniąt), bowiem identyfikuje konkretną osobę na wiele różnych sposobów. Z jednej strony za pomocą wizerunku możemy zidentyfikować określoną osobę – przypisać (przy pomocy specjalnych środków technicznych) jej imię i nazwisko, miejsce zamieszkania, z drugiej zaś możemy dzięki specyficznym cechom fizycznym uzyskać określone dane wrażliwe – na podstawie koloru skóry określamy przynależność rasową a na podstawie czynników fizycznych nierzadko jesteśmy zdolni wyciągnąć wnioski na temat stanu zdrowia danej osoby.
Mało tego, wizerunek częstokroć jest nośnikiem innych informacji, z których możemy wyciągnąć określone wnioski i czerpać dane zdecydowanie wykraczające ponad te, które wynikają z naszej anatomii. Zazwyczaj wizerunek utrwalony zostaje w „kontekście”.
Czy to kontekście miejsca czy czasu. Zdjęcie z wakacji okraszone datą nie tylko uwiecznia naszą fizjonomię, ale również jest nośnikiem informacji – gdzie byliśmy w określonym czasie, jakie są nasze upodobania co do pogody, klimatu; jeżeli pozujemy wspólnie z rodziną, osoba postronna poznaje naszych bliskich; jeżeli wybraliśmy się na drogą zagraniczną wycieczkę, osoba postronna określa nasz status materialny etc.
Czy w związku z tym fotografia zawsze daną osobową będzie? Nie zawsze. Kluczowym elementem jest charakter przetwarzania danej fotografii i magiczne pojęcie z nią związane – „dane biometryczne”. Czym dane biometryczne są? Zgodnie ze „słowniczkiem” zawartym
w art. 4 RODO dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Rozbijmy powyższą definicję na czynniki pierwsze, posiłkując się wykładnią językową.
Aby mowa była o fotografii jako danej biometrycznej, fotografia musi spełniać wszystkie ww. kryteria tj.:
1. Dane osobowe pozyskane z fotografii muszą wynikać ze specjalnego przetworzenia;
2. Musi dotyczyć cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej;
3. Musi umożliwić lub potwierdzić jednoznacznie identyfikację danej osoby.
Gdy mowa o fotografiach weselnych, gdy przyjrzeć im się z bliska, sposobach jej obróbki, formie ukazania, trudno mówić o wizerunku jako biometrycznej danej osobowej.
Fotograf przygotowujący album ślubny stosuje co prawda specjalne programy przetwarzające wykonane fotografie, jednak punkt ciężkości nie znajduje się w identyfikacji ciotecznej siostry naszego wujka i przypisaniu jej imienia i nazwiska oraz określonych cech fizjologicznych czy fizycznych. Fotograf ślubny dba o wizualne przetworzenie najpiękniejszego momentu naszego życia. Zgodnie z pkt. 51 Preambuły RODO, przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Fotografie ślubne oczywiście są przetwarzane, ale cel tego przetwarzania w żaden sposób nie jest ukierunkowany na identyfikację.
Dość istotne, oprócz celu i rodzaju przetwarzania fotografii weselnej jest rozróżnienie fotografii jako danej zwykłej i danej biometrycznej. RODO co do zasady wprost takiego rozróżnienia nie przewiduje. Wskazuje nam jedynie co to jest dana biometryczna i w jakiej sytuacji fotografia za taką danę może zostać uznana. Jeżeli mówimy jednak o fotografii to oczywiście mówimy o wizerunku, który co do zasady objęty jest ochroną. Ochroną jednak wizerunek sam w sobie objęty jest w celu jego komercyjnego wykorzystania. Tak jak wspominałem powyżej, fotografia ślubna będąca pamiątką, jest wyłączona spod działania RODO. Inaczej rzecz wyglądać będzie, gdy fotograf posłuży się wykonanymi fotografiami w celu np. promocji swojego zakładu i rozpowszechni wizerunki gości weselnych. W tej sytuacji będziemy mieli do czynienia z ochroną przewidzianą w art. 81 ustawy z dnia 04 lutego 2004 r. o prawie autorskim i prawach pokrewnych. W tej konkretnej sytuacji, fotograf będzie zobowiązany do uzyskania zgód osób znajdujących się na fotografiach i, nierzadko będzie zobowiązany za wypłacenie wynagrodzenia.
RODO a Restaurator
Każda przyszła para młoda, marząca o małym czy też skromnym weselu, pragnie aby uczestniczyły w nim osoby bliskie. Przygotowuje listę gości, rozmieszczenie stołów, preferencje towarzyskie i kulinarne. W praktyce przyszła para młoda dostarcza powyższe dane do wybranego przez siebie, wymarzonego lokalu. Lokal przyjmuje dane w postaci listy gości (imiona i nazwiska), częstokroć połączone z wiekiem gości i koligacją rodzinną oraz preferencjami kulinarnymi, nierzadko połączonymi w chorobami (celiaklia, cukrzyca). Lokal dane przetwarza. Układa menu, drukuje winietki weselne etc. Czy mowa tutaj o przetwarzaniu danych osobowych w rozumieniu RODO? I tak i nie. Dlaczego?
Imię, nazwisko, wiek danymi osobowymi są. W połączeniu z preferencjami kulinarnymi opartymi na chorobach, można nawet mówić o danych wrażliwych zgodnie z art. 9 ust 1 RODO.
Jakie obowiązki w związku z tym spoczywają na restauratorze?
Organizator wesela dane osobowe otrzymuje, i bez wątpienia przetwarza, bardzo często korzystając z usług wszelkiej maści podwykonawców. W pierwszej kolejności restaurator otrzymuje dane osobowe swojego Klienta przy zawarciu z nim umowy o organizację wesela. Zazwyczaj jest to imię i nazwisko, adres oraz telefon kontaktowy lub/i adres mailowy.
Zgodnie z art. 12 ust. 1 RODO z momentem zawarcia umowy z klientem, organizator wesela staje się administratorem danych osobowych. W tej sytuacji, zgodnie z art. 12 ust. 1 spoczywa na nim obowiązek informacyjny.
Jest zobowiązany do podjęcia odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie.
Powyższe nakazuje restauratorowi zamieszczenie na umowie, lub w formie odrębnej stosownej klauzuli informacyjnej:
Administratorem Pana/i/Państwa danych osobowych jest [nazwa restauratora]. Administrator danych powołał Inspektora Ochrony Danych, [nazwa IOD oraz dane kontaktowe].
Dane osobowe tj. imię i nazwisko, numer telefonu kontaktowego, adres e-mail – przetwarzane są na podstawie art. 6 ust 1 lit. b) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO).
Dane osobowe w ww. zakresie przetwarzane są w celu właściwej realizacji usługi zgodnie
z treścią umowy zawartej pomiędzy stronami.
Dane osobowe mogą być ujawnione pracownikom lub współpracownikom [nazwa restauratora], jak też podmiotom udzielającym wsparcia [nazwa restauratora] na zasadzie zleconych usług i zgodnie z zawartymi umowami powierzenia.
Posiada/ją Pan/i/Państwo prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem.
Posiada/ją Pan/i/Państwo prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie jego danych osobowych narusza przepisy RODO.
Kolejną kwestią, wspomnianą już powyżej, jest możliwość dalszego powierzania przetwarzania danych osobowych przez organizatora wesela. Bez wątpienia restaurator korzysta z „pomocy” różnego rodzaju usługodawców. O ile w danej sytuacji będzie konieczność przekazania danych osobowych Klienta w celu właściwej realizacji umowy, wymagać to będzie zawarcia
z usługodawcą stosownej umowy powierzenia. Wydaje mi się jednak, że taka sytuacja rzadko będzie miała miejsce. Restaurator w większości przypadków będzie posługiwał się listą np. potrzebnych produktów bez korelacji jej z konkretnymi osobami. Ale w przypadku,
gdy zaistnieje okoliczność powierzenia danych osobowych Klienta usługodawcy, restaurator będzie zobowiązany do zawarcia z usługodawcą stosownej umowy powierzenia danych osobowych w celu właściwej realizacji umowy głównej.
W tym miejscu należy wspomnieć na temat przetwarzania danych osobowych gości weselnych.
Temat dość skomplikowany zarówno z perspektywy narzeczonych listę przygotowujących,
jak i z perspektywy restauratora, który to listę będzie przetwarzać w celu właściwej realizacji umowy.
Co do zasady imię i nazwisko daną osobową są. Oczywiście można mówić tutaj o pewnych wyjątkach. Jan Nowak bez dodatkowych informacji jest daną zbyt ogólną aby pozwoliła ona na identyfikację właściwej osoby, nawet w połączeniu z określoną miejscowością (według danych Ministerstwa Cyfryzacji za 2018 r., mężczyzn o nazwisku Nowak w całej Polsce jest 92.867). Aby mówić o imieniu i nazwisku jako danej osobowej, musi ona identyfikować konkretną osobę. W tej konkretnej sytuacji o identyfikacji nie może być mowy.
Należy również zastanowić się, czy przyszła para młoda dane powierza do przetwarzania czy jedynie udostępnia. Temat nie jest do końca jasny. Z jednej strony restaurator dane otrzymuje w konkretnym celu przetwarzania – ułożenia menu wg preferencji, przygotowania winietek (często korzystając z agencji zewnętrznych), z drugiej zaś dane te są mu jedynie udostępnione w celu realizacji umowy. Rozróżnienie powierzenia od udostępniania jest dość istotny. O ile restaurator nie przetwarza danych w innym celu jak tylko nadruku czy też ułożenia menu, możemy mówić o udostępnieniu tych danych w celu wykonania konkretnego zadania. Identycznie rzecz wygląda w przypadku organizacji innych imprez czy też szkoleń. Zleceniodawca udostępnia Zleceniobiorcy dane uczestników szkolenia w celu właściwego wykonania usługi i o ich przetwarzaniu w odrębnym celu nie może być mowy.
Wielokrotnie słyszy się absurdy związane z wejściem w życie RODO. Absurdem w mojej ocenie byłoby wymaganie od gości weselnych przez narzeczonych, wyrażenia zgody na przetwarzanie danych osobowych. W pierwszej kolejności należy wskazać, iż lista nie jest tworzona na podstawie danych pozyskanych od samych gości. Imię i nazwisko gościa weselnego jest młodej parze znane, zapewne od niepamiętnych dla nich czasów. Przekazanie tych danych restauratorowi powinno podlegać, w relacji para młoda-restaurator, wyłączeniu określonemu w art. 2 ust 2 lit c) RODO, jako czynność dokonana przez osobę fizyczną o czysto osobistym charakterze. Dopiero z momentem dostarczenia restauratorowi danych gości nabierają one charakteru formalno-prawnego i podlegają ochronie wynikającej z RODO.
Organizacja przyjęcia weselnego jest wydarzeniem przez wielkie „W”. Ilość obowiązków
i niuansów spoczywających na głowie przyszłych małżonków jest tak ogromna, że stres na pewno daje się we znaki. Podejdźmy do tematu zdroworozsądkowo i zachowajmy umiar,
i dystans w obecności RODO na weselu.

Podobne wpisy:

blog tile header image
Michał Sztąberek

Podsumowanie funkcjonowania Privacy Shield

Po wyroku TSUE z 6 października 2015 r. w sprawie Schrems (C-362/14) bezpieczna przystań nie okazała się być wcale tak bezpieczna i to, co praktycy wiedzieli od lat, nareszcie uzyskało oparcie w orzeczeniu Trybunału Sprawiedliwości. Jednak prawo tak jak i natura nie toleruje pustki i transfer danych osobowych między Unią Europejską a Stanami Zjednoczonymi znalazł się pod opieką nowego pakietu ochronnego tj. Tarczy Prywatności, zatwierdzonej przez Komisję Europejską 12 lipca 2016 r.

blog tile header image
Maria Lothamer

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

blog tile header image
Olga Jaworowska

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]