Dokumenty Pro w świetle RODO – Ekspertyza prawna

EKSPERTYZA PRAWNA

Dotycząca wykonywania zdjęć biometrycznych i używania programu Dokumenty Pro w świetle RODO

Ekspertyza przygotowana przez  radcę prawnego Katarzynę Orzeł, właściciela kancelarii radcy prawnego w Krakowie (http://www.kancelariaorzel.pl).

1. CO TO JEST RODO?

Ekspertyza:

Unijne Rozporządzenie RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) * zastąpiło dotychczas obowiązującą ustawę o ochronie danych osobowych, wprowadzając jednocześnie nowe regulacje. Zostało ono przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku, a zawarte w nim przepisy egzekwowane są od 25 maja 2018 roku. Od tego momentu wszystkie firmy działające na terenie Unii Europejskiej mają obowiązek przestrzegania nowych zasad dotyczących przepływu i przetwarzania danych osobowych osób fizycznych. W praktyce zapewnia to większą ochronę jednostkom, a także ogranicza możliwość handlowania danymi i udostępniania ich kolejnym podmiotom bez wiedzy samych zainteresowanych.

*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

2. CZY RODO DOTYCZY TAKŻE FOTOGRAFÓW?

Ekspertyza:

Zdecydowanie TAK. Nowe przepisy stosowane są bezpośrednio (są wiążące dla każdego przedsiębiorcy) i dotyczą każdej firmy, która świadczy swoje produkty lub usługi osobom prywatnym (fizycznym) w całej Unii Europejskiej.

Fotografowie przetwarzają dane osobowe w zakresie kilku czynności przetwarzania. Przede wszystkim przetwarzają oni dane swoich klientów. Dodatkowo przetwarzają oni również wizerunki innych osób uczestniczących w sesjach zdjęciowych wykonywanych przez fotografów. Wizerunki takie również stanowią dane osobowe i powinny być przetwarzane zgodnie z RODO.

Ponadto zgodnie z RODO przetwarzanie fotografii może być również w niektórych okolicznościach uznane za przetwarzanie danych biometrycznych, co podlega odrębnym ograniczeniom.

Pojawiające się co jakiś czas informacje, że RODO nie dotyczy firm zatrudniających mniej niż 250 osób są wynikiem nie doczytania przepisów i błędnej ich interpretacji. W przypadku działalności fotografa podczas, której przetwarza on wiele danych osobowych zobowiązany jest on do stosowania RODO co potwierdzają wypowiedzi przedstawicieli Ministerstwa Cyfryzacji.

3. CZY KAŻDE ZDJĘCIE JEST DANĄ BIOMETRYCZNĄ?

Ekspertyza:

Zgodnie z RODO sama fotografia nie stanowi danej biometrycznej – ale sposób jej przetwarzania (czyli wykorzystywania) może stanowić przetwarzanie danych biometrycznych. Wynika to z tego, iż zgodnie z RODO wykorzystywanie fotografii stanowi przetwarzanie danych biometrycznych jedynie, jeśli są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Oznacza to, że tylko jeśli wykorzystujemy wizerunki przy zastosowaniu specjalnego oprogramowania mającego na celu identyfikację biometryczną dochodzi do przetwarzania danych biometrycznych.

Art. 4 ust. 14: „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Jeśli zatem ktoś wykorzystuje zdjęcie w celu identyfikacji biometrycznej – przetwarza dane biometryczne – na takich administratorów RODO nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”. W efekcie zatem fotograf, który jedynie wykonuje zdjęcia, które mogą być wykorzystywane w celach biometrycznych, nie przetwarza danych biometrycznych – nie wykorzystuje bowiem tych zdjęć do identyfikacji za pomocą szczególnych środków technicznych.

4. DOKUMENTY PRO W KONTEKŚCIE RODO

Ekspertyza:

Program Dokumenty Pro stanowi narzędzie do „przetwarzania” danych osobowych w zakresie wizerunku. Dane przetwarzane przy jego użyciu są przy tym o tyle istotne, że są one już przygotowane do wykorzystania biometrycznego. Same w sobie nie są danymi biometrycznymi ale bardzo łatwo można je zastosować w tym celu (są specjalnie wykonane w taki sposób, aby ułatwić wykorzystanie ich w celu identyfikacji).

Dlatego też, dane te powinny być mocno chronione.

Z uzyskanych informacji o zasadach działania Dokumenty Pro wynika jednak, że oprogramowanie to nie przetwarza wizerunku w celu identyfikacji (nie dokonuje zapisu punktów biometrycznych). Dzięki temu nie ma obowiązku uzyskania zgody klienta na wykorzystanie Dokumenty Pro do obróbki jego zdjęć.

Nie mniej jednak, wizerunki wykonane w celach zastosowania do biometryki powinny być szczególnie chronione przed wyciekiem. Dlatego też jest szczególnie istotne, aby przetwarzać je z zachowaniem najwyższych standardów bezpieczeństwa.

5. CZY DOKUMENTY PRO SĄ ZGODNE Z RODO?

Ekspertyza:

Po dokonanej analizie działania Dokumenty Pro i zastosowanych modyfikacjach należy stwierdzić, że może być to system pomocny przy spełnieniu wymogów przetwarzania danych zgodny z RODO. Poddane analizie modyfikacje i dodatki mają na celu pomoc w wypełnieniu obowiązków wynikających z RODO i ułatwiają wybór ustawień programu zgodnych z nowymi przepisami.

Komentarz Pixel-Tech:

Od wersji 8.2 program wyposażony został w różne funkcje pozwalające spełnić kryteria RODO, w tym w specjalnego Asystenta RODO, który na bieżąco kontroluje i podpowiada optymalne pod względem bezpieczeństwa ustawienia programu.

Ważnym elementem są tutaj stałe aktualizacje wynikające z Subskrypcji, ponieważ tylko najnowsza wersja oprogramowania zapewnia bezpieczeństwo przetwarzania danych osobowych.

6. CZY PROGRAM DOKUMENTY PRO MUSI BYĆ STALE UAKTUALNIANY?

Ekspertyza:

Zgodnie z dobrymi praktykami w zakresie przetwarzania danych, przetwarzanie powinno zawsze następować przy użyciu środków gwarantujących najwyższy poziom bezpieczeństwa. Podstawową zasadą jest zawsze przetwarzanie danych za pomocą sprzętu wyposażonego jedynie w aktualne i legalne wersje oprogramowania na nim zainstalowanego.

W tym wypadku dotyczy to zarówno programu Dokumenty Pro, jak i samego systemu operacyjnego, czy innych programów wykorzystywanych do obróbki zdjęć.

Art. 24, ust. 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Dostępność Subskrypcji i automatyczne powiadomienia o aktualizacjach są z pewnością elementem pomagającym realizować ten obowiązek.

7. CO NALEŻY ZROBIĆ, ABY W PROSTY SPOSÓB WDROŻYĆ RODO W ZAKRESIE WYKONYWANIA ZDJĘĆ IDENTYFIKACYJNYCH?

Ekspertyza:

Zakład fotograficzny przetwarzający dane biometryczne powinien przede wszystkim zapewnić zgodność przetwarzania z prawem. W tym celu, obowiązkowe jest przygotowanie rejestru czynności przetwarzania oraz przeprowadzenie wstępnej analizy ryzyka związanego z przetwarzaniem danych osobowych. W zależności od jej wyników konieczne może być wykonanie oceny skutków przetwarzania dla praw i wolności osób, których dane dotyczą.

Raporty z wykonanych analiz powinny być przechowywane łącznie z dokumentacją przetwarzania danych osobowych.

Niezależnie od powyższego rekomendowane jest wdrożenie polityki przetwarzania danych osobowych, opisującej zasady przetwarzania danych osobowych w jednostce. Do polityki takiej powinny zostać załączone wzory dokumentów (takich jak: wzory pobieranych zgód, wzory informacji przekazywanych osobom, których dane są przetwarzane, wzory upoważnień) oraz zasady, jak postępować na przykład w przypadku wystąpienia przez osoby, których dane są przetwarzane, z żądaniami lub zapytaniami.  Obecnie w Kancelarii opracowujemy rozwiązania dedykowane dla różnych branż, w tym również branży fotograficznej. Zgodnie z RODO wprowadzone rozwiązania powinny bowiem być dostosowane do specyfiki prowadzonej działalności.

Niezależnie od tego należy zapewnić również, aby same czynności przetwarzania były wykonywane zgodnie z zasadami bezpieczeństwa – konieczna może być zatem zmiana organizacji swojej pracy (zabezpieczenie szaf, gdzie przechowywane są dokumenty, zabezpieczenie innych nośników danych).

Umowy takie mogą mieć oczywiście postać akceptowanych wzorców umownych lub regulaminów korzystania z usługi.

8. CZY OD KAŻDEGO KLIENTA MUSZĘ UZYSKAĆ ZGODĘ?

Ekspertyza:

Zgoda musi zostać uzyskana od klienta jedynie w wypadku, gdy chcemy wykorzystywać jego dane w celach innych niż wykonanie samej umowy. Dla przykładu, zgody konieczne są dla wykorzystania zdjęcia w portfolio lub jego publikacji.

Dodatkowo zawsze kiedy chcemy komunikować się z klientem na adres e-mail, konieczne jest wyrażenie przez niego zgody na taki sposób komunikacji. Jedynym wyjątkiem jest, gdy przekazanie wiadomości na adres e-mail jest konieczne dla wykonania umowy – wtedy można używać adresu e-mail jedynie w tym celu.

9. JAKIE SĄ KONSEKWENCJE NIEPRZESTRZEGANIA POSTANOWIEŃ RODO?

Ekspertyza:

Oprócz korzyści dla osób fizycznych, RODO ułatwia także polskiemu organowi ochrony danych osobowych egzekwowanie przestrzegania przepisów. Po wejściu w życie RODO (25 maja 2018) zostanie utworzony nowy organ, który przejmie kompetencje GIODO – będzie to Prezes Urzędu Ochrony Danych Osobowych.

W ramach kompetencji nadzorczych będzie on uprawniony do stosowania szerokiego katalogu kar związanych z naruszeniem zasad przetwarzania danych osobowych.

Do łagodnych należy uznać upomnienie lub ostrzeżenie. Silniejszą sankcją może być nakazanie spełnienia żądania osoby, której dane dotyczą lub dostosowania zasad przetwarzania danych do obowiązujących przepisów. Jeszcze groźniejszą sankcją może być wprowadzenie czasowego lub stałego zakazu przetwarzania danych osobowych przez danego administratora – oczywiście taka sankcja powinna być stosowana jedynie w ostateczności. W szczególności możliwe jest czasowe zakazanie przetwarzania danych do czasu dostosowania swojej organizacji do RODO.

Do każdej sankcji organ uprawniony jest również nałożyć kary pieniężne w wysokości do 4% rocznego obrotu przedsiębiorstwa za zeszły rok.

10. CZY DOKUMENTY PRO SĄ BEZPIECZNYM ROZWIĄZANIEM W KONTEKŚCIE PRZETWARZANIA DANYCH OSOBOWYCH?

Ekspertyza:

Generalnie można orzec, że Dokumenty Pro pozwalają na przetwarzanie danych zgodnie z RODO. Ogólnie tak. Jest to bezpieczne oprogramowanie, instalowane lokalnie i nigdy samodzielnie nieprzetwarzające i niewysyłające żadnych danych osobowych poza komputer, na którym jest zainstalowane. Pod tym względem można mieć pewność, że firma Pixel-Tech nie przetwarza danych osobowych Twoich klientów za pośrednictwem programu Dokumenty Pro.

W kontekście RODO osobnej ocenie należy jednak poddać niektóre z dostępnych rozwiązań czy funkcjonalności programu Dokumenty. Funkcje te nie są obligatoryjne w procesie przetwarzania zdjęcia, a ich używanie jest zależne od decyzji administratora. Funkcjonalności opisane zostały w punktach 11 do 17.

11. USŁUGA „BEZPIECZNY MAGAZYN ZDJĘĆ”

Komentarz Pixel-Tech:

Jest to nowa usługa Pixel-Tech stworzona specjalnie dla programu Dokumenty Pro w celu zapewnienia bezpiecznego i zgodnego z RODO dostarczania biometrycznych fotografii cyfrowych osobom fizycznym.

Bezpieczny Magazyn Zdjęć zapewnia bezpieczny, zakodowany transfer zdjęcia na serwer zlokalizowany w Unii Europejskiej. Klient posiada dostęp do zdjęcia poprzez specjalny Kod, przez określoną liczbę dni i sam decyduje o jego usunięciu z serwera.

Ekspertyza:

Jest to bardzo dobre rozwiązanie w ujęciu problematyki RODO. Przede wszystkim niweluje ono przesył danych osobowych za pośrednictwem maila, który z zasady zwiększa ryzyko ich wycieku. W szczególności bowiem darmowe/publiczne domeny stosują niższe poziomy zabezpieczeń niż domeny prywatne. Niebezpieczne może być również udostępnianie danych na nośniki przekazane przez klienta – może bowiem rodzić to ryzyko zainfekowania sprzętu fotografa wirusami i złośliwym oprogramowaniem „przyniesionym” przez klienta.

Jednocześnie zgodnie z przekazanymi informacjami dane przekazywane w usłudze Bezpieczny Magazyn Zdjęć są przechowywane na zabezpieczonych serwerach na terenie Unii Europejskiej, co gwarantuje ich bezpieczeństwo.

Dodatkowo dzięki zastosowaniu tego rozwiązania Fotograf przestaje być odpowiedzialny za dane osobowe – zostają one bowiem przekazane innemu administratorowi, którym jest PIXEL TECH i on teraz odpowiada wobec klienta za bezpieczeństwo danych.

12. WYSYŁANIE ZDJĘĆ MAILEM

Ekspertyza:

Z punktu widzenia RODO jest to zły pomysł. Dane osobowe (zdjęcie) może dostać się w ręce osób trzecich w skutek np. nieautoryzowanego dostępu do skrzynki mailowej, podanie błędnego adresu e-mail przez osobę fizyczną. Konieczne będzie również zawarcie dodatkowych Umów powierzenia przetwarzania danych osobowych z każdym dostawców usług mailowych.

Komentarz Pixel-Tech:

Problematykę maila w kontekście RODO potęguje fakt, że zarówno większość fotografów jak ich klientów korzysta z bezpłatnych skrzynek pocztowych, które tak naprawę nie gwarantują zadawalającego poziomu bezpieczeństwa. Trzeba mieć świadomość, że wysyłając zdjęcie z programu poprzez posiadaną bezpłatną skrzynkę tak naprawdę nie wiemy i nie mamy wpływu na to co operator z nią z robi i jak długo będzie takie dane przetrzymywał.

Funkcjonalność pozostawiona została w programie, aby nie ograniczać odgórnie jego dotychczasowego działania. Wprowadzony od wersji 8.2 programu Asystent RODO informuje, że nie jest to rozwiązanie optymalne w świetle RODO.

13. EKSPORT ZDJĘĆ NA PENDRIVE KLIENTA

Ekspertyza:

Sam fakt nagrania zdjęcia na nośnik klienta jest akceptowalny. Należy jednak wziąć pod uwagę bezpieczeństwo własne zakładu fotograficznego. Wprowadzanie zewnętrznych nośników pamięci do komputera w zakładzie to ryzyko jego zainfekowania przez wirusy oraz oprogramowanie szpiegujące, a co za tym idzie możliwą kradzież danych osobowych i danych w ogóle. Stoi to już zdecydowanie w sprzeczności z RODO, które wymusza szczególną dbałość o bezpieczeństwo sprzętu i oprogramowania używanego do przetwarzania danych osobowych. W razie stosowania takiego rozwiązania konieczne jest wdrożenie dodatkowych zabezpieczeń takich jak sprawdzanie antywirusowe nośników.

Komentarz Pixel-Tech:

Funkcjonalność pozostawiona w programie, aby nie ograniczać odgórnie jego dotychczasowego działania. Wprowadzony od wersji 8.2 programu Asystent RODO informuje, że nie jest to rozwiązanie optymalne w świetle RODO.

14. NAGRYWANIE ZDJĘĆ NA CD

Ekspertyza:

Jest to rozwiązanie dopuszczalne pod warunkiem zaopatrzenia się w urządzenie niszczące taki nośnik danych (w razie teoretycznego niepowodzenia nagrania zdjęcia na CD występuje ryzyko znajdowania się na nim już wypalonych danych osobowych).

Komentarz Pixel-Tech:

Funkcjonalność pozostawiona w programie ze względu na niski stopień zagrożenia.
Należy jednak wziąć pod uwagę, że większość współczesnych komputerów w ogóle nie jest wyposażana w napęd CD, więc klient może mieć problem z dostępem do swojego zdjęcia.

15. REPOZYTORIUM OSTATNIO WYKONYWANYCH ZDJĘĆ

Komentarz Pixel-Tech:

W programie wbudowana jest opcja usuwania plików z nośników danych, w związku z powyższym dla celów technicznych konieczne jest wykorzystywanie Repozytorium zdjęć. Z repozytorium można przywołać ostatnio wykonane zdjęcie, jeśli pierwotny wydruk był błędny np. ze względu na awarię sprzętu drukującego. W repozytorium dostępna jest opcja ustalenia liczby dni, po których zdjęcie jest automatycznie usuwane z tej lokalizacji. Dla ustawień RODO rekomendujemy 3 dni.

Ekspertyza:

W celach technicznych związanych z wykonaniem umowy (w tym przypadku wykonaniem zdjęcia identyfikacyjnego) można zachować zdjęcie przez krótki czas. RODO nie definiuje pojęcia „krótki czas”, jednak 3 dni z pewnością są w tym względzie bezpieczne. Nie jest jednak rekomendowanie jego wydłużanie.

16. ARCHIWUM ZDJĘĆ

Ekspertyza:

Zdjęcia biometryczne mają ważność 6 miesięcy od momentu ich wykonania i osoba fizyczna ma możliwość dokonania ewentualnej reklamacji zdjęcia w tym terminie (np. z tytułu nie przyjęcia w stosownym Urzędzie). Fotograf musi mieć możliwość przywołania takiego zdjęcia w programie, jego poprawienia i ponownego wydrukowania. Funkcjonalność taką umożliwia opcjonalne Archiwum, które usuwa zdjęcia po 7 miesiącach od ich wykonania, co daje też czas na zgłoszenie i rozpatrzenie roszczenia.

17. STATYSTYKI

Ekspertyza:

Dla celów statystycznych i kontrolnych wykonana praca może być gromadzona na podstawie odrębnej zgody lub w czasie gdy istnieje też inna podstawa przetwarzania – na przykład przetwarzanie danych w związku z wykonaniem umowy o archiwizację lub w celu zabezpieczenia celów windykacyjnych.

Radca prawny Katarzyna Orzeł

Radca prawny Katarzyna Orzeł-specjalista z zakresu ochrony danych osobowych, prawa własności intelektualnej oraz prawa telekomunikacyjnego. Od 10 lat świadczy usługi prawne na rzecz przedsiębiorców, specjalizując się w obsłudze sektora TMT. Współpracuje z organizacjami zrzeszającymi przedsiębiorców w tym Krajową Izbą Komunikacji Ethernetowej, Fundacją Nasza Wizja oraz innymi organizacjami w których opracowuję między innymi zasady ochrony danych osobowych przez przedsiębiorców i podmioty świadczące usługi. Zagadnieniami danych osobowych zajmuje się od wielu lat, szkoląc przedsiębiorców z zasad ich wykorzystania na konferencjach oraz opracowując polityki zarządzania danymi i ich ochrony. Jest również autorką wielu artykułów w pismach branżowych koncentrujących się na zasadach legalnego wykorzystywania danych osobowych. Katarzyna Orzeł jest też inicjatorką i założycielką projektu rododlafotografa, w ramach którego opracowywane są rozwiązania dopasowane do branży fotograficznej. Prowadzi także bloga https://rododlafotografa.pl