GDPR u fotografiji

Kakav vražji GDPR?

Htjeli ne htjeli, zadnjih mjeseci ste sigurno čuli izraz GDPR iliti General Data Protection Regulation . Meni je na uši izlazio iako se nisam previše interesirao, znao sam samo da je to još jedna umotvorina EU vezana za zaštitu osobnih podataka.

Ne bi se previše zamarao s tom uredbom da nisam načuo da bi se mogla ticati i fotografije. Kako točno nisam siguran pa se pokušavam snaći u moru stranica, prezentacija, sajtova… i svejedno ne nalazim konkretan recital, članak ili poglavlje gdje to jasno piše.

Dakle ovaj post neće biti tutorial niti rješenje vaših problema vezanih uz GDPR nego više otvaranje oči za neupućene uz pokoju korisnu natuknicu.

Ukratko GDPR regulira bilo kakvo prikupljanje i obradu osobnih podataka na način da sve mora biti jasno i transparentno, da osobe moraju biti svjesne da se njihovi podaci uzimaju za obradu te da moraju dati nedvosmisleno odobrenje za te radnje.

Naramak definicija

Uredba (EU) 2016/679 europskog parlamenta i vijeća sadrži 173 recitala, 99 članaka u 11 poglavlja, a ja sam izvukao par nama zanimljivih definicija iako ih sigurno ima još hrpa zakukuljenih negdje u tekstu.

Članak 4. – Definicije

Osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

Obrada znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

Biometrijski podaci znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

U recitalu 51 pak kažu „Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.“

Članak 6. – Zakonitost obrade

Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

Članak 7. – Uvjeti privole

Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući.
Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.

Što smijemo, a što ne

Koliko ja ovo shvaćam snimanje npr. portreta je prikupljanje osobnih odnosno biometrijskih podataka i kao takvo podliježe procedurama odredbe odnosno trebalo bi osobu uputiti u to te bi ona trebala dati pisano dopuštenje.

Čini se da kod modnih editoriala nije dovoljan klasičan Model release nego poseban obrazac, a fotografi koji fotkaju za dokumente trebali uvesti obrazac jer ga do sada nisu imali.

Za uličnu fotografiju stvari su dodatno komplicirane jer ne mogu naći neko pametno objašnjenje.

One hour with Sony Alpha a99 II / Vedran Tolic|www.vedrantolic.com — Milostiva, prosim jedan potpis kad završite sa selfijima

Svi znamo da je nemoguće snimati život ulice i tražiti potpise slučajnih prolaznika. Također je to glupo jer snimate javni prostor s javnog prostora. Iako u Mađarskoj je 2014. donesen zakon koji zabranjuje upravo to – fotografiranje ljudi na javnom prostoru bez njihovog dopuštenja. I naravno unio je pomutnju među foto reportere, turiste, sudove…

Na kraju su kao nešto demantirali, rekli da se krivo protumačilo, pa korigirali

Što je sa reportažnom, sportskom, koncertnom fotografijom?

/ Ivica Drusany — Gospodo, samo malo pričekajte sa slavljem dok ja skupim potpise

Pa ni tu mi stvari nisu jasne jer i ona spada u ovu kategoriju gdje baš nije moguće skupljati potpise okolo od npr. sportaša, političara, glazbenika i ostalih. Da li to ide u domenu izvješćivanja, javnog interesa ili nečeg sličnog pa se ova uredba ne primjenjuje na tu vrstu fotografije ne znam jer nigdje nisam našao jasnu definiciju. Možda zato jer se riječ “foto” nalazi u samo dvije rečenice od 97 stranica teksta što bi značilo da je ovo jako loše i nejasno složeno za fotografe ili da se pak ne primjenjuje. Ali onda se vraćamo na definicije koje kažu da je fotografija biometrijski odnosno osobni podatak što će reći da se kao takav podliježe ovoj priči.

Vjenčana fotografija je uglavnom bila papirnato čista jer su se sklapali ugovori pa su se već tu definirala neka prava i obveze, ali čini se da ćete trebati uvesti dodatnu papirologiju za pisani pristanak objave fotki na webu, blogu i ostalom. Dakle neće moći biti sastavni dio ugovora.

Što će biti sa masovnim stavljanjem fotki po Facebooku i ostalim društvenim mrežama, da li će se sve te velike firme morati nekako zaštititi pa ćemo kod svakog uploada morati potvrđivati (i lagati) da imamo pisano dopuštenje osoba na fotografijama? Nemam pojma. Znam samo da i one firme van EU koje skupljaju podatke EU građana moraju primjenjivati ovu Uredbu iako za Facebook kažu:

— Although the initial tranche of changes, announced last week, will be available worldwide, Zuckerberg refused to commit to GDPR becoming the standard for the social network across the world.

Kopajući po internetima u potrazi za nekim konkretnim primjerima i objašnjenjima nisam našao skoro ništa na hrvatskom jeziku. Rezultati za GDPR su uglavnom bacali more raznih firmi koje su očito nanjušile love u ovome pa su sad svi konzultanti za implementaciju, drže se predavanje, školice, rade se softveri… Uglavnom ovo je trenutno izvor love.

Rezultati na engleskom su naravno malo raznolikiji pa osim ovih morskih pasa koji su nanjušili krv tu su i neki članci, portali i ostali koji pokušavaju shvatiti i objasniti i foto problematiku u cijeloj priči. Nabaciti ću neke primjere, ali i oni su samo razna tumačenja, nigdje ne vidim pozivanje na konkretan članak.

— How do we classify photos – do they now count as personal information? Whether a photograph counts as personal information depends on how it’s processed and used. According to the ICO, police photographing crowds to identify trouble-makers is personal information; a photo journalist photographing the same crowds to record the event is not personal information. You now need permission to use images of people and you must give them the option to be excluded or blurred out. A good example of this is in the charity space, where lots of photos of people are used for marketing promotions - and these all count as personal information. So each time you replicate a person’s image on any type of marketing collateral – remember that you’re still using private data – but just in different ways.

Kako GDPR utječe na moj web?

Pa..utječe. Naime prije smo imali onu histeriju oko stavljanja obavijesti da naš web site koristi cookiese, a sada se stvar dodatno komplicira.

U slučaju da vaš web koristite za prikupljanje e-mail adresa na koje ćete slati Newsletter ili možda obavijest o vašem novom blog postu ili pak uzimate podatke u anketama ili nagradnim igrama morate se baviti dodatnom papirologijom kako bi svi bili sretni i zadovoljni…svi osim vas naravno.

Da su neki webovi već ozbiljno pristupili ovoj temi svjedoči i moj mailbox u kojem se počinju pojavljivati mailovi u kojima se traži potvrda za daljnje slanje. Ukoliko ne kliknem potvrdno automatski se brišem iz sustava slanja. Dakle nema muljanja, sitnih slova, automatskog prijavaljivanja…mora se kliknuti Yes I Agree… čime nedvosmisleno dajete pravo prikupljanja i obrade vaših podataka u svrhu slanja Newslettera.

Ako već ne sadrži takav web bi trebao sadržavati Privacy Policy u kojem ćete jasno do znanja dati kaj sve skupljate, upoznati sa detaljima pohrane podatka, sigurnošću, pravima, jasno navesti vaš kontakt i adresu… Koliko vidim ona vam je trebala i prije za cookiese, ali sada je ono..super potrebna.

Postoje razni besplatni generatori, ali pitanje je koliko je to prihvatljivo pa ćete vjerojatno morati potražiti pravnu pomoć ako želite biti 100% sigurni.

Sigurnost

Dame i gospoda (ili kako je već sada politički korektno to pisati) iz Europske komisije se jako brinu o sigurnosti prikupljenih podataka pa se tako postavlja pitanje koliko su ti podaci sigurni u vašim rukama. Sigurnosne mjere bi trebale obuhvaćati enkripciju i anonimizaciju podataka, backup, kontrolu pristupa, a spominju se i protuprovalna vrata u uredima, kamere, sefove i ostala čuda koja bi trebala povećati sigurnost.

A s druge strane imamo poštare koji poštu s vašim osobnim podacima, OIB-om i ko zna čim sve ne bacaju u nekakve limene kutije koje može orobiti ili potrgati petogodišnje dijete.

Prava

Neka od prava ispitanika su:

Pravo na informiranje o obradi
Pravo pristupanja informacijama
Pravo na ispravak netočnih podataka
Pravo na brisanje podataka (“pravo na zaborav)
Pravo na prigovor
Pravo na prestanak obrade
Pravo na prijenos podataka drugom voditelju obrade
Pravo na žalbu i naknadu štete
Prava vezana za automatsko odlučivanje na temelju podataka i profiliranje

Kazne

Članak 83.

— Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće

Eto zato tolika panika. A evo i jedan fun fact – hrvatska državna administracija izuzela se od novčanih kazni za kršenje Zakona.

Pretpostavljam da nitko neće uboge fotografe razapinjat sa nebuloznim kaznama i da će na početku nišan biti na većim igračima, ali jednog dana tko zna tko će sve stradat ako ne bude igrao po pravilima.

Tko je kod nas vodi glavnu riječ?

Sve o GDPR-u kod nas bi trebala znati Agencija za zaštitu osobnih podataka na čijim stranicama možete pronaći sve objavljene dokumente, promotivne spotove, vodiče i ostalo. Tamo ćete vjerojatno završiti i ako ćete imati pitanja o primjeni GDPR-a u svojem foto obrtu ili firmi.

I za kraj…

Kod nas se male firme i obrti neće previše opterećivati ovom Uredbom koja je u biti samo nadogradnja već postojećih zakona pa ne bi trebala izazivati toliko čuđenje, ali dok kazne nisu ogromne i dok se zakoni ne provode onda kao da i ne postoje.

Cijela ova priča oko fotografije je meni nejasna, pomalo neizvediva i možda nepotrebna, ali eto 25.5.2018. odnosno datum primjene je pred vratima pa ćemo vidjeti kako će se to odvijati kod nas i u svijetu.

Kao što sam rekao na početku ovo je samo moj zbunjeni osvrt na ovu dodatnu administracijsku komplikaciju pa su svi vaši savjeti, iskustva, linkovi, korekcije…dobro došli.