технология

Новый закон ЕС:
что делать с фотографиями?

25 мая 2018 года на всей территории Евросоюза начал действовать закон General Data Protection Regulation (GDPR). Что это значит для пользователей?

Почему мне приходят письма об изменении политики конфиденциальности?

Наверняка вы уже получили письма об изменении политики конфиденциальности, настроек доступа и т.д. от Фейсбука, Гмэйла и других зарубежных сервисов, где вы зарегистрированы или услугами которых вы пользуетесь. Ничего страшного в этих письмах нет, но всё же стоит раз прочитать, что именно меняется в политике конфиденциальности того или иного сервиса, и понять, что именно в этом случае может измениться лично для вас.

Смысл этих сообщений в следующем: при пользовании сервисами вы всегда предоставляете им свои персональные данные, и сервисы хотят вас заверить в том, что они приводят свою политику конфиденциальности в соответствие с законом General Data Protection Regulation, вступившим в силу 25 мая 2018 года. Как и раньше, сервисы будут защищать ваши персональные данные, обеспечивать их безопасность и защиту от утечки и предоставлять вам возможность управлять своими данными.

Эти общие фразы мне понятны. Какие конкретные последствия ждут граждан других стран (не Евросоюза) после вступления в силу GDPR?

Закон направлен на защиту персональных данных именно граждан ЕС. На первый взгляд, НЕграждан Евросоюза это не должно касаться. Но есть нюансы. Если у вас есть сайт, зарегистрированный в зоне ЕС, вы попадаете под действие данного закона в случае обработки персональных данных посетителей сайта. Если вы владелец российского сайта, но он ориентирован на посетителей из Евросоюза, вы также должны соблюдать данный закон. Если вы точно знаете, что не оказываете никаких услуг гражданам Евросоюза, то можете спать спокойно. Если сомневаетесь — можете прочесть закон (со стр. 46 на русском языке) и проанализировать, подпадает ли ваша деятельность под него или нет. Вдруг европейские клиенты заказывают что‐то в вашем интернет‐магазине? Тогда закон необходимо соблюдать, иначе вам могут грозить большие штрафы.

А если я просто блогер и люблю размещать на своих страницах фотографии из путешествий по Европе, в том числе и с изображениями людей?

Мы уже видели в интернете несколько публикаций о том, что новый закон о GDPR просто убьет любую возможность фотографировать и размещать без согласия снимки людей, сделанные в Европе. Однако, нам кажется, что это явное преувеличение, и что паникерам было бы неплохо прочесть раздел закона о фотографировании людей и публикации таких фотографий. Разумеется, можно публиковать изображения тех, кто дал свое согласие на фотосъемку, но и без такого согласия можно публиковать фото, если:
— оно сделано в публичном месте,
— человек, изображенный на фотографии, является публичной фигурой,
— публикация фотографии представляет общественный интерес,
— фотография была сделана во время посещения публичного мероприятия.

В Гражданском кодексе Российской Федерации есть статья 152.1 «Охрана изображения гражданина», положения которой перекликаются с новым европейским законом. Российские блогеры и журналисты всегда были обязаны ее соблюдать. Кстати, европейский GDPR делает исключение для журналистики, если фото размещается в интересах общества. Также исключения предусмотрены для обработки данных (включая фотографии, насколько они являются личными данными) для академических, художественных или литературных нужд, об этом говорится в п. 2 ст. 85 GDPR.

На старые фото, снятые или опубликованные до вступления GDPR в силу, он будет распространяться?

На сегодняшний день мы можем лишь предполагать и ориентироваться на здравый смысл, размытость формулировок нового закона и на то, что и в российском (ст. 54 Конституции РФ), и в международном праве (ст. 7 Конвенции о защите прав человека и основных свобод) по умолчанию закон обратной силы не имеет. Если на странице с фотографией будет стоять дата публикации до 25 мая 2018 года, вероятно, такая фотография под запрет не подпадет, если после 25 мая 2018 — соблюдаем закон. Как сообщает один из европейских ресурсов: «Если после 25 мая вы заметили свое лицо в фотогалерее публичного мероприятия (это не относится к частным дружеским вечеринкам), в социальных сетях или в другом месте, при этом вы четко знаете, что не были информированы о фотографировании, не давали на это свое согласие и определенно не желаете публикации этих фото, вы имеете полное право связаться с организатором мероприятия и просить об изъятии фото с места публикации».

А как доказывать, что фото старое, было сделано до 25 мая, если у снимка стерты данные EXIF?

Подразумевается, что если вы фотографировали до вступления GDPR в силу, а само фото выложили в сеть позже, то человек на снимке должен знать, что вы хотите опубликовать фото в будущем и должен был согласиться на это. Лучше, чтобы такое согласие могли подтвердить свидетели, или получить письменное согласие (достаточно его письма по электронной почте) — в противном случае вы вряд ли сможете доказать свое право на публикацию снимка.

В заключение процитируем главу Роскомнадзора Александра Жарова (да‐да, того самого, который борется с Телеграмом) о том, считается ли публикация фотографии обработкой персональных данных: «…фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя “Оля” персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных». Несмотря на удобную позицию российского чиновника в этом вопросе, надо помнить, что его мнение не может подменять законы других государств.

Над материалом работала
Наталья Якимовская

Нужна консультация, совет, дополнительная информация? Напишите нам