Czy RODO dotyczy także fotografów?

Nowymi regulacjami dotyczącymi ochrony danych osobowych powinny przejmować się serwisy internetowe żyjące z mieszania danych osobowych (prywatnie nazywam je łapaczkami), kilka kwadransów na intelektualnego wysiłku przydałoby się jednak każdemu podmiotowi, który ma do czynienia z danymi osobowymi (czyli właściwie każdemu).
Dziś jednak czas na kilka akapitów o czymś, co może nie wydawać się tak oczywiste — a mimo swojej nieoczywistości spowodować może rzeczywiste perturbacje — czyli kilka zdań o tym czy fotografia biometryczna ma coś wspólnego z danymim osobowymi i tym całym RODO?


fotografia biometryczna dane osobowe RODO

Fotografia biometryczna oznacza przetwarzanie danych osobowych — czyli fotografowie robiący zdjęcia do paszportów czy dowodów osobistych powinni poświęcić kilka chwil na analizę RODO (fot. © fotokrzyki.pl)


Będzie w punktach, bo tak prościej:

  • nie ma wątpliwości, że ustawodawca wymusza tak paskudne — biometryczneujęcia do dowodów osobistych i paszportów, właśnie ze względu na to czym jest biometria — czyli „technika dokonywania pomiarów istot żywych (…) ukierunkowana jest na metody automatycznego rozpoznawania ludzi na podstawie ich cech fizycznych” (za Wikipedią);
  • słowem: standaryzacja sposobu wykonywania fotografii pozwala na łatwe „wyłapanie” cech, które identyfikują nas lepiej nawet niż numer PESEL czy własnoręczny podpis;

motyw 51 RODO
Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

  • nie musimy zresztą sięgać do Wikipedii, bo przecież (interesująca nas, bo legalna) definicja danych biometrycznych jest w rozporządzeniu nr 679/2016, które wprost mówi, iż są to dane osobowe, które powstały wskutek specjalnego przetwarzania technicznego i dotyczą cech fizycznych czy fizjologicznych (fotografia to tylko jeden z rodzajów biometryki) — takie jak wizerunek twarzy” (art. 4 pkt 14 RODO);
  • dla jasności: nie każda fotografia jest nośnikiem danych osobowych — fotografia będzie definiowana jako dane biometryczne jeśli przy zastosowaniu odpowiednich środków można jednoznacznie zidentyfikować lub potwierdzić tożsamość sportretowanej osoby (motyw 51);

art. 4 pkt 14 RODO
„dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

  • i teraz najważniejsze: fotografia biometryczna stanowi szczególny rodzaj danych osobowych — dane wrażliwe — których przetwarzanie jest zasadniczo zabronione, chyba że zachodzi jedna z przesłanek pozwalających na ich przetwarzanie (art. 9 ust. 1-2 RODO);
  • czy to oznacza, że fotografom nie będzie już wolno robić zdjęć do paszportu czy prawa jazdy? spieszę wyjaśnić, że oczywiście nic się nie zmienia — przetwarzanie szczególnych kategorii danych osobowych jest przecież dopuszczalne jeśli zainteresowana osoba wyraziła na to zgodę (przychodząc do fotografa w celu zrobienia zdjęcia do paszportu wyrażam zgodę na utrwalenie mojego wizerunku, art. 9 ust. 2 lit. b RODO);

art. 9 ust. 1 RODO
Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

  • na szczęście ta zgoda nie musi mieć formy pisemnej — to kolejny przypadek, w którym RODO w gruncie rzeczy ułatwiło ludziom życie (a piję oczywiście do art. 27 ust. 2 pkt 1 d. uoodo, która wprawdzie nie nazywała fotografii biometrycznych danymi osobowymi, ale wymagała wyrażenia zgody na przetwarzanie danych wrażliwych „na piśmie”);
  • jednak nie oznacza to, że fotograf ma dowolność jeśli chodzi o przechowywanie takich zdjęć (dla jasności: przechowywanie jest jedną z postaci przetwarzania danych osobowych, por. art. 4 pkt 2 RODO) — skoro generalna zasada ochrony danych osobowych mówi, że można je przetwarzać dotąd, dokąd jest to uzasadnione celem (art. 5 ust. 1 lit. a-c RODO), a celem było zrobienie zdjęcia do dokumentów — wychodzi na to, że fotografowie powinni usuwać pliki zawierające zdjęcia biometryczne wkrótce po ich odebraniu przez klienta (po odczekaniu na ewentualną reklamację, etc. — natomiast na pewno nie ma uzasadnienia dla przechowywania takich zdjęć przez okres przekraczający 6 miesięcy, skoro jest to cezura „ważności” zdjęcia wykonanego z myślą o dokumentach tożsamości.

I to by było na tyle, na razie.

25 comments for “Czy RODO dotyczy także fotografów?

  1. 12 czerwca 2018 at 07:41

    Dobra, ale w tym przypadku wszystkie „szkoły” czy inne zakłady pracy które wydają np. legitymacje służbowe z zdjęciem (policja?), nie mogą przechowywać takich zdjęć? Czy nawet ich pobierać od zainteresowanego?

    Czy to jest tak, iż jest to zwykła dana osobowa (wizerunek) osoby, do czasu gdy podmiot nie przetwarza jej biometrycznie. W momencie, gdy podmiot przetworzy je biometryczne (posiada odpowiednie rozwiązanie techniczne, posiada dostęp do odpowiedniej bazy danych itp.). I dopiero wtedy musi poinformować zainteresowanego o zmianie sposobu przetwarzania danych?

    • 12 czerwca 2018 at 23:08

      no i co? Lekarze w szpitalach się skarżą że RODO może doprowadzić do śmierci pacjenta.

      • Olgierd Rudak
        13 czerwca 2018 at 08:52

        Jeśli już to tylko prawników (od czytania, niekoniecznie samego RODO), a to chyba powinno cieszyć ;-)

        • 13 czerwca 2018 at 14:47

          RODO utrudnia rozpoznanie pacjenta, co może doprowadzić nawet do omyłki i strasznych skutków.

          • Olgierd Rudak
            13 czerwca 2018 at 15:03

            Ty tak na poważnie? Lekarz odmówił Tobie pomocy? ;-)

  2. 12 czerwca 2018 at 07:44

    A co jak firma jest firmą z tych „inteligentnych” i posiada ekspres, który rozpoznaje osoby by przygotować im ich ulubioną kawę?

  3. 12 czerwca 2018 at 07:46

    A przy okazji, bycie zapomnianym a inne ustawy? Co jeśli chcę by sklep mnie zapomniał, ale jednocześnie sklep np. wystawił mi fakturę VAT (chyba muszą przechowywać to przez 5 lat?) czy jest zobligowany do świadczenia reklamacyjnego (2 lata). Można odmówić zapomnienia, gdyż inne przepisy stanowią inaczej?

  4. RYBY
    12 czerwca 2018 at 09:24

    Widzę, że SpeX mocno zainteresowany ;-)
    Jedną z podstaw przetwarzania jest zgoda osoby, której dane dotyczą, więc sprawę nr 3 masz załatwioną.
    Sprawa nr 1 i 4 to prawnie uzasadniony interes administratora (zgoda raczej nie jest dobrowolna ani potrzebna).
    Sprawa nr 2 – skąd w szpitalu mają wiedzieć, że dzwoni rodzic, a nie hiena dziennikarska; jak zidentyfikować ofiary, z którymi nie ma kontaktu itp., itd.

    • Olgierd Rudak
      12 czerwca 2018 at 09:55

      Niemniej ad Biometryczny Ekspres do Kawy (??), to zgoda zgodą, ale najsamprzód przydałoby się ustalić kto i co (mam w szkicowniku tekst o sprytnych telewizorach i innych urządzeniach, które odsłuchują otoczenie lub nawet mierzą użytkowników — być może gdzieś to wysyłając; pewnie jakaś Siri czy Alexa jest kryta (bo użytkownik coś klika), ale czy telewizor też odbiera taką zgodę?)

      Co do zdjęć legitymacyjnych to myślę, że albo jest po temu przepis ustawy (chyba że ustawa nie mówi o przechowywaniu danych, na podstawie których wydawana jest legitymacja) — a jeśli szkoła jest zbyt sprytna i wymaga zdjęcia biometrycznego (zdaje się, że nie jest tak wszędzie), to ma temat do analizy (i być może lepiej zrezygnować).
      Policja ma to na pewno uregulowane normatywnie.

      • RYBY
        12 czerwca 2018 at 13:33

        No wiadomo, na ekraniku ekspresu wyświetla się pomalutku klauzula informacyjna, człowiek zaznacza zgodę na przetwarzanie i już po 10 minutach może sobie przyłożyć paluszek i zrobić ulubioną kawkę ;-)
        Jeżeli legitymacja ze zdjęciem jest wydawana, to administrator nie przetwarza już tego zdjęcia, jako że nie jest już w jego posiadaniu. Administrował tylko w momencie przyklejania/przypinania do tekturki ;-)

        • Olgierd Rudak
          12 czerwca 2018 at 13:47

          Jeśli wykonał legitymację w oparciu o odbitkę (którą wkleił), to tak; ale jeśli jest to plik w bazie, z którego jest wykonywany dokument — to dalsze przechowywanie fotografii w bazie jest przetwarzaniem tych danych.

          Mnie ta biometria, nie będę ukrywał, mierzi. Brakuje jeszcze ekspresu, który odmówi mi kawy, bo stwierdzi, że za dużo dla zdrowia, albo chlebodawca nie jest kawodawcą i nie będzie ponosił tego kosztu ;o)

        • 12 czerwca 2018 at 21:22

          Dokładnie, może być iż legitymacja to tylko jeden z elementów „dostępu”. Bo może się okazać, iż wchodząc do pracy trzeba wbić się tą legitymacją do pracy. Do tego ochronie, pokazuje się zdjęcie prawidłowej osoby. A kończąc to wszystko na tym, iż „konto w domenie” i przy logowaniu do windowsa, pojawia się jeszcze twój awatar.

  5. Ja
    12 czerwca 2018 at 21:32

    Legitymacje to inna rzecz, ale wychodzę sobie do miasta i robię zdjęcia typu „street”. W ramach nauki ustawień aparatu lub zadania domowego, chociażby.

    fotografia będzie definiowana jako dane biometryczne jeśli przy zastosowaniu odpowiednich środków można jednoznacznie zidentyfikować lub potwierdzić tożsamość sportretowanej osoby

    problem w tym, że na pewno ktoś się załapie w taki sposób, że będzie można ustalić jego tożsamość.
    I co – na karcie mam dane osobowe, których tam mieć nie mogę, bo nie mam zgody połowy miasta?!?

    • Olgierd Rudak
      13 czerwca 2018 at 08:54

      Nie, albowiem niezależnie od tego, że byłbyś cudotwórcą, gdyby udało się zrobić w ten sposób biometryczne zdjęcie (portrety obiektywem 85-105 mm), jest to zastosowanie czysto osobiste.

  6. 12 czerwca 2018 at 23:08

    Hura! W przychodni nie wywołują po nazwisku tylko po numerze!

    • RYBY
      13 czerwca 2018 at 10:29

      A na biurku doktora nie leżą czasem karty pacjentów z adresami i PESEL-ami?
      A w restauracji na stoliku kartka REZERWACJA KOWALSKI 18.00

      • Olgierd Rudak
        13 czerwca 2018 at 10:35

        No nie, pacjent to nie lekarz, z tym wołaniem chodzi oczywiście o to, żeby postronna osoba nie wiedziała kto na co choruje.

        Aczkolwiek przypominam sobie, że tak samo było 20 lat temu, a później się skończyło.

        • RYBY
          13 czerwca 2018 at 12:17

          Pacjent to nie lekarz, ale jak ja wchodzę jako pacjent, to zawsze widzę kto jest następny w kolejce, a na biureczko doktóra równiutko ułożone koperty i grubym flamastrem IMIĘ i NAZWISKO, ADRES, PESEL, czasem nr telefonu

          • 13 czerwca 2018 at 14:46

            Zawsze ale czy po wprowadzeniu RODO też?

            • Ja
              14 czerwca 2018 at 19:59

              Też, też. W dodatku u nas w przychodni pacjent musi się zwierzać pani zza przegródki po co chce do lekarza, co dolega, gdzie i jak często. Bez tego pani nie zapisze. Pani przede mną miała problemy skórne na brzuchu. W innej temat zdrowia pacjentki był szeroko omawiany w recepcji przez panią przy komputerze, lekarkę i … kierowcę. Wszyscy pilnie słuchali. RODO to fikcja w większości przychodni i biur.

  7. Ja
    14 czerwca 2018 at 20:02

    A inny lekarz stwierdził, że teraz Polacy nie mają nazwisk tylko numerki jak w Oświęcimiu i on będzie wołał normalnie po nazwisku i tak robił.

    • Olgierd Rudak
      15 czerwca 2018 at 08:37

      To wszystko się szybko unormuje, unormalni. Część P.T. Czytelników jest na tyle młodych, że rok 1997 kojarzy im się co najwyżej z podręcznikiem historii (powódź, Kongres Eucharystyczny i Wojtyła we Wrocławiu), ale ja pamiętam te same schizy jak wchodziła w życie ustawa nieboszczka.

  8. sjs
    29 czerwca 2018 at 21:09

    Zapomniałeś o Facebooku, ale Facebook nie zapomniał o Tobie. ;)

    https://www.facebook.com/rodo2018/posts/1122549944551862

    • Olgierd Rudak
      1 lipca 2018 at 22:24

      Kruca bomba! :)

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.