Zamieszczanie filmów na stronach internetowych: Jak to zrobić zgodnie z RODO?

Zasady RODO wprowadzają rygorystyczne wymogi dotyczące ochrony prywatności i danych osobowych. Dbając o zgodność z nimi, zapewniamy bezpieczeństwo nie tylko osobom występującym w filmie, ale również naszym widzom. Pozwala to na zbudowanie relacji zaufania z użytkownikami, a także uniknięcie potencjalnych konsekwencji prawnych.

Jak zatem poprawnie osadzić filmy na naszych stronach internetowych, uwzględniając bezpieczeństwo i prywatność naszych widzów?

Materiały wideo a RODO

Materiały wideo są często osadzane na dużych platformach streamingowych (np. YouTube), a odwołanie do nich jest umieszczane na stronie internetowej danej firmy czy instytucji. Takie bezpośrednie dodanie filmów z platform wideo na stronę internetową jest wygodne i szybkie. Jednak z punktu widzenia ochrony danych osobowych może okazać się problematyczne, ponieważ przy bezpośredniej integracji treści z komercyjnych platform wideo co do zasady dane osobowe osób odwiedzających witrynę, takie jak adresy IP czy pliki cookie, są przekazywane właścicielowi platformy i zewnętrznym dostawcom (np. firmom partnerskim dostawcy platformy), często mających siedzibę poza Europejskim Obszarem Gospodarczym.

Podczas bezpośredniego osadzania filmu na stronie internetowej, przekazywanie danych do właściciela platformy (na przykład YouTube) zazwyczaj zaczyna się od chwili, gdy użytkownik odwiedza stronę z osadzonym filmem. To oznacza, że transfer danych może rozpocząć się jeszcze przed momentem kliknięcia w okno filmu przez użytkownika. Warto podkreślić, że przekazanie danych następuje nawet jeśli użytkownik nie odwiedził bezpośrednio strony platformy wideo.

Zdaniem organu nadzorczego Badenii-Wirtembergii, biorąc pod uwagę decyzję Trybunału Sprawiedliwości Unii Europejskiej w sprawie umieszczania przycisku "Lubię to" Facebooka na stronach internetowych (sprawa C-40/17 "Fashion ID"), właściciele stron oraz platformy internetowe są współadministratorami danych osobowych w rozumieniu zgodnie z art. 26 RODO. To oznacza, że osoby prowadzące strony internetowe muszą zapewnić, by użytkownicy byli odpowiednio poinformowani o przetwarzaniu ich danych przed ich zebraniem i żeby dalsze przetwarzanie tych danych było zgodne z prawem.

Ważne jest również, że nie zawsze trzeba korzystać z z zewnętrznych źródeł, aby zapewnić dostęp do treści lub multimediów, takich jak filmy. Ograniczenie użycia takich zewnętrznych źródeł może znacznie uprościć zarządzanie ochroną danych osobowych. W dalszej części artykułu opisujemy kroki, które przybliżą do realizacji tego celu

Własny hosting materiałów wideo

Rozwiązaniem, które najbardziej sprzyja ochronie prywatności, jest samodzielne przechowywanie materiałów wideo na Twojej stronie internetowej. Zamiast polegać na zewnętrznych źródłach, możesz bezpośrednio udostępnić filmy z Twojego własnego serwera. Oczywiście, wymaga to odpowiedniego miejsca na dysku i odpowiedniej przepustowości. Zaletą tego rozwiązania jest jednak to, że unikasz potencjalnych problemów związanych z przesyłaniem danych osobowych do stron trzecich.

Tag został wprowadzony wraz z HTML5 i umożliwił integrację wideo na stronach internetowych bez dodatkowych wtyczek. Filmy mogą za pomocą linku być zintegrowane z kodem HTML stron internetowych. Eliminuje to uciążliwe i regularne sprawdzanie wtyczek i dostawców zewnętrznych pod kątem zgodności z zasadami ochrony danych. Jeśli funkcje tagu wideo nie są wystarczające, można je rozszerzyć za pomocą różnych bibliotek JavaScript. Powinny one być również zintegrowane za pośrednictwem własnego serwera. Większość systemów zarządzania treścią (oprogramowanie do zarządzania stronami internetowymi) oferuje odpowiednie możliwości bez konieczności ręcznego dostosowywania kodu HTML.

 controls="controls" poster="thumbnail.jpg" width="320" height="240"> <source src="video.mp4" type="video/mp4"> <source src="video.webm" type="video/webm"> <track src="captions.vtt" kind="captions" srclang="pl" label="Polski"> Przykro mi, Twoja przeglądarka nie obsługuje tagu video.

Co robią poszczególne części kodu:

Gdy nie jest możliwe gwarantowanie odpowiednich zasobów bezpośrednio na Twojej stronie internetowej, pomyśl o skorzystaniu z usług dostawcy, który jest wolny od wyzwań związanych z transferem danych do państw trzecich. Szukaj partnerów, którzy nie mają problemów z zapewnieniem należytego poziomu ochrony danych osobowych, aby zapewnić bezpieczeństwo i zgodność z RODO.

Dla przykładu, PeerTube to platforma wideo, która oferuje alternatywę dla popularnych usług, jednocześnie przestrzegając zasad ochrony danych. Jest to platforma niekomercyjna, na której możesz przesyłać, oglądać i komentować filmy. Podobnie jak inne serwisy tego typu, umożliwia również subskrybowanie kanałów innych użytkowników. Jednak w przeciwieństwie do komercyjnych platform, PeerTube nie posiada jednego centralnego dostawcy. Zamiast tego, składa się z wielu indywidualnych serwerów PeerTube, zwanych instancjami. Aby korzystać z PeerTube, musisz najpierw założyć konto na jednej z tych instancji.

Przed rozpoczęciem korzystania z platform wideo warto zastanowić się, czy rzeczywiście potrzebujesz interakcji z użytkownikami przez swój własny kanał. Jeśli twoim głównym celem jest publikowanie filmów na własnej stronie internetowej, najbezpieczniejszym rozwiązaniem z punktu widzenia ochrony danych jest hosting własny (self-hosting). W ten sposób zminimalizujesz ilość danych przekazywanych innym podmiotom.

Gdy właściciel strony internetowej współadministruje danymi osobowymi z platformą wideo, zazwyczaj potrzebna jest zgoda osoby odwiedzającej stronę. To wymaga szczególnej uwagi, zwłaszcza gdy właściciel strony utworzył własny kanał na platformie wideo, a dane osobowe użytkowników strony mogą być dostępne w statystykach lub wykorzystywane do celów reklamowych. W przypadku przetwarzania danych do tworzenia statystyk lub reklam przez platformę internetową, administratorzy strony mogą zdobyć wiedzę o pewnych cechach osób odwiedzających, co pomaga im realizować wspólne cele. W takiej sytuacji muszą być spełnione wymagania art. 26 RODO. Istnieje rozwiązanie, takie jak DoubleClick, które pozwala na uzyskanie zgody odwiedzającego. Najpierw na stronie pokazuje się podgląd treści zewnętrznych - bez przekazywania adresu IP, informacji o przeglądarce lub innych danych osobowych do stron trzecich. Dopiero po aktywnym kliknięciu w podgląd przez odwiedzającego, na przykład aby obejrzeć wideo, dane te są przesyłane.

Odbierając zgodę konieczne jest spełnienie wszystkich wymagań wynikających z art. 4 pkt 11 RODO. Zgoda powinna być zatem uzyskana z wyprzedzeniem, musi być wyraźna, świadoma, dobrowolna, aktywna i niezależna od innych oświadczeń. Informacje muszą być podane w formie jasnej, zrozumiałej i łatwo dostępnej, przy użyciu prostego języka, aby spełnić wymagania przejrzystości określone w art. 12 i 13 RODO.

Ważne jest, aby pamiętać, że samo aktywne wyrażenie zgody na prezentację na platformach zewnętrznych przez osoby, których dane są przetwarzane, nie jest wystarczające. Muszą one być wcześniej poinformowane o przetwarzaniu ich danych osobowych związanym z tym wyświetleniem. Ogólne wskazanie na możliwe i nieokreślone przetwarzanie danych przez zarządców platform nie jest zgodne z zasadami ochrony danych osobowych. Dodatkowo, przy przesyłaniu danych osobowych do krajów spoza Unii Europejskiej, należy również przestrzegać wymogów rozdziału 5 RODO.

Zamieszczanie filmów podmiotów trzecich (zewnętrznych filmów)

Ze względu na zasadę minimalizacji danych operatorzy serwisów internetowych przed zamieszczeniem na swoich stronach filmów podmiotów trzecich z serwisów zewnętrznych powinni sprawdzić, czy jest to możliwe bez transmisji danych na platformę wideo. Na przykład jeśli film jest dostępny na platformach zapewniających ochronę prywatności, takich jak PeerTube, osadzenie go powinno odbywać się właśnie stamtąd.

Kiedy właściciele stron internetowych umieszczają filmy z zewnętrznych platform komercyjnych lub stron internetowych podmiotów trzecichbez stosowania współadministrowania zgodnie z art. 26 RODO, mogą skorzystać z metody DoubleClick. Najpierw powinna się pojawić zapowiedź z odnośnikiem do zewnętrznej zawartości. Ta informacja powinna jasno wskazać dla odwiedzającego, że podczas odtwarzania filmu operator platformy otrzyma szczegóły, takie jak kto aktualnie przegląda daną stronę internetową i że istnieje możliwość połączenia tej osoby z istniejącymi danymi.

Tylko wtedy, gdy odwiedzający aktywnie kliknie w podgląd, np. aby obejrzeć wideo, operator platformy wideo lub osoby trzecie mogą otrzymać adres IP, informacje o przeglądarce lub inne dane osobowe.

Ponadto przed opublikowaniem filmu wideo osób trzecich na własnej stronie internetowej należy zawsze sprawdzić, czy jest to dozwolone przez prawo autorskie.

Prawo autorskie wiecznie żywe

Jeśli na filmach są nie tylko budynki lub ujęcia natury, lecz także widać i słychać ludzi, weryfikacja pod kątem ochrony danych osobowych musi zostać przeprowadzona również w odniesieniu do tych treści. Obejmuje ona w szczególności wybór właściwej podstawy prawnej przetwarzania danych (tj. utrwalanie, przechowywanie i publikacja) oraz publikacji wizerunku, która co do zasady możliwa jest na podstawie zezwolenia osoby, której dane dotyczą.