Nieodłącznym elementem filmu lub serialu są dane osobowe. W każdą produkcję zaangażowane są osoby fizyczne – począwszy od reżysera i scenarzysty po aktorów, statystów oraz innych członków ekipy filmowej. 

Temat danych osobowych od kilkunastu miesięcy jest w centrum zainteresowania (nie tylko prawników) z uwagi na tzw. RODO – nowe unijne rozporządzenie o ochronie danych¹. Celem RODO jest poprawa stanu ochrony informacji o osobach fizycznych. Obowiązki wynikające z RODO dotyczą każdego, kto przetwarza dane osobowe osób fizycznych.

Poniżej wyjaśniamy, o jakich aspektach prawnych związanych z ochroną danych należy pamiętać w branży filmowej, aby nie narazić się na kary administracyjne lub roszczenia osób, których dane są przetwarzane.

 

Administrator danych osobowych

Najwięcej obowiązków wynikających z RODO nałożonych jest na administratora danych. Administratorem jest podmiot (firma, osoba fizyczna, instytucja publiczna), który przetwarza dane osobowe według jakiejś ustalonej struktury. Administrator decyduje, jak i po co dane mają być przetwarzane.

W produkcji filmowej może być wielu administratorów. Przede wszystkim administratorem jest producent, czyli osoba lub podmiot podejmująca inicjatywę, faktycznie organizująca, prowadząca i ponosząca odpowiedzialność za kreatywny, organizacyjny i finansowy proces produkcji filmu. Administratorem może być także producent wykonawczy (czyli podmiot zaangażowany przez producenta do wykonywania części lub całości prac techniczno-organizacyjnych związanych z produkcją), a także agencja zajmująca się rekrutacją zespołu, nadawca czy dystrybutor. Podmioty te mogą też być administratorami tych samych danych – każdy w trochę innym zakresie przetwarzania.

Szczególną sytuację możemy mieć przy koprodukcji filmowej, gdzie na podstawie umowy grupa podmiotów decyduje się wyprodukować film. W takim przypadku może się okazać, że podmioty te w zakresie danych osobowych będą współadministratorami, czyli będą wspólnie decydować o celach i zakresie przetwarzania danych.

O czym pamiętać: na początku każdej produkcji należy ustalić, kto i jakie dane osobowe będzie przetwarzał (tj. kto będzie zbierał dane, kto będzie je przechowywał, kto będzie zawierał umowy, kto będzie dane udostępniał itp.). Ustalenie tych ról pozwoli na wskazanie administratora, na którym będzie ciążyć szereg obowiązków wobec osób fizycznych.

 

Kto może mieć dostęp do danych osobowych

Administrator danych osobowych może udostępniać przetwarzane dane osobowe innym osobom i podmiotom. Takie ujawnienie może przybrać następujące postaci:

  • Upoważnienie – osoby pracujące lub współpracujące z administratorem mogą mieć dostęp do danych osobowych (np. w celu realizacji umów, układania harmonogramu produkcji, itp.). Osoby takie muszą posiadać pisemne upoważnienie do przetwarzania danych osobowych w danym zakresie. Upoważnienie jest odrębnym dokumentem lub dodatkowym punktem w umowie. Należy w nim wskazać, do jakich danych osobowych i w jakim celu osoba będzie miała dostęp. Ważne też, aby upoważniony został o tym poinformowany – treść dokumentu powinna mu zostać przekazana, a nie wyłącznie załączona do dokumentacji pracowników produkcji. W treści upoważnienia powinna znaleźć się klauzula o zachowaniu poufności. Jest to jeden ze sposobów zwiększenia bezpieczeństwa danych, aby osoby pracujące przy produkcji nie ujawniały informacji osobom trzecim.
  • Dalsze powierzenie – zleceniobiorcy i usługodawcy administratora mogą wykonywać czynności dotyczące danych osobowych. Wykonują w ten sposób część czynności zamiast administratora (np. agencja castingowa, która na zlecenie producenta prowadzi rekrutację aktorów). Podmioty takie (procesorzy) muszą zawrzeć z administratorem pisemną umowę powierzenia przetwarzania. RODO wymaga, aby umowa wskazywała, jakie dane i w jakim zakresie zostają powierzone, w jakim celu mają być przetwarzane i co procesor powinien z nimi zrobić po zakończeniu współpracy (usunąć lub zwrócić producentowi). Producent musi także zapewnić sobie prawo do skontrolowania, jak procesor przetwarza dane i czy wdraża odpowiednie środki bezpieczeństwa danych osobowych, w tym system raportowania o incydentach naruszenia bezpieczeństwa.
  • Udostępnienie danych – zdarza się, że dane osobowe zostaną przekazane innemu administratorowi (np. producent przekazuje dane nadawcy). W takim przypadku nadawca (w zakresie nadania) będzie odrębnym administratorem i będą na nim ciążyć własne obowiązki wynikające z RODO.

O czym pamiętać: administrator musi wskazać krąg osób, którym przekazuje dane i określić, jaką formę takie przekazanie przyjmuje (upoważnienia, powierzenia czy przekazania). Powinien też zawrzeć odpowiednie umowy lub przygotować dokumenty będące podstawą przekazywania.

 

Obowiązki administratora

Przepisy określają liczne obowiązki administratora danych. Z punktu widzenia producentów filmowych, najważniejsze z nich to:

  • Każde przetwarzanie danych osobowych musi mieć podstawę prawną. W większości sytuacji podstawą prawną przetwarzania będzie zawarta umowa – w zakresie wykonywania umowy administrator może przetwarzać dane osobowe bez uzyskiwania dodatkowych zgód lub oświadczeń. Szereg obowiązków wynika z przepisów prawa – jeżeli przepis prawa wymaga przetwarzania danych osobowych (kwestie rozliczenia podatku, ZUS itp.), można przetwarzać dane osobowe. Potrzeba przetwarzania danych osobowych może wynikać z uzasadnionego interesu administratora (aktor pozywa producenta) – dane potrzebne do obrony przed roszczeniami można przetwarzać dla ochrony takiego interesu. Jeżeli nie znajdujemy jednej z podstaw prawnych wskazanych powyżej, a istnieje potrzeba przetwarzania danych, administrator może uzyskać zgodę Taka sytuacja może mieć miejsce, gdy chcemy pozyskać inne dane niż te potrzebne do zawarcia umowy (wiek, imiona dzieci, poprzednie miejsca pracy) albo w przypadku, gdy chcemy dane zachować dla innych produkcji.
  • Administrator musi realizować zasadę przejrzystości. Należy dopilnować, aby każda osoba, której dane przetwarza producent, otrzymała informacje: w jaki sposób i przez kogo są przetwarzane jej dane, jaki jest cel przetwarzania, na jakiej podstawie prawnej są przetwarzane dane, jak długo będą przetwarzane, komu mogą zostać przekazane. Producent może dowolnie określić sposób przekazania tych informacji (np. zamieścić informacje w umowie z członkiem ekipy lub opracować politykę przetwarzania danych, która zostanie indywidualnie doręczona lub opublikowana na stronie internetowej producenta).
  • Producent zapewnia bezpieczeństwo danych. Należy odpowiednio zabezpieczyć systemy informatyczne, na których są przetwarzane dane. Ważne jest odpowiednie zorganizowanie pracy poprzez zapewnienie miejsc, w których dane będą bezpiecznie przechowywane przez członków ekipy. Warto opracować zasady przetwarzania danych – w formie np. przewodnika lub poradnika dla członków ekipy. Taki dokument nie musi mieć formy długiego regulaminu, napisanego skomplikowanym językiem prawnym – dla zapewnienia bezpieczeństwa danych bardziej przystępna będzie np. forma dekalogu („10 najważniejszych zasad”).

O czym pamiętać: producent musi poinformować wszystkie osoby, których dane są przetwarzane, o tym, jak się to odbywa. Administrator odpowiada za działania członków ekipy – należy zapewnić odpowiednie szkolenia o tematyce dostosowanej do potrzeb pracy nad filmem lub serialem, aby zwiększyć świadomość osób pracujących na danych osobowych. Producent powinien określić zasady zwiększające bezpieczeństwo danych, które muszą stosować członkowie ekipy.

 

Nie takie RODO straszne

Przetwarzanie danych wymaga skoordynowania działań w trzech obszarach – prawnym (dla zapewnienia zgodności z prawem działań), organizacyjnym (dla zapewnienia bezpieczeństwa danych w codziennej pracy przy produkcji) i technicznym (aby przetwarzać dane na systemach informatycznych zapewniających ich bezpieczeństwo). Wdrożenie RODO nie musi utrudniać codziennej pracy na planie filmowym, jednak niezbędne jest podjęcie działań mających na celu zwiększenie świadomości wśród osób odpowiedzialnych za przetwarzanie danych.

__

¹ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

____

Sprawdź do czego się odwołujemy:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych.