Dopady evropského nařízení GDPR na personální oblast budou v českých firmách výrazné. Jednou z oblastí, na kterou podniky často zapomínají, jsou přitom fotografie jejich pracovníků. Snímky zaměstnanců se přitom objevují na mnoha místech, od webových stránek podniku, přes jeho facebookový profil až po výroční zprávy, propagační a marketingové brožury nebo služební průkazy.
Podle odborníků stejně jako v předchozím období, také po nástupu GDPR od 25. května 2018, bude platit ustanovení občanského práva, že „zachytit jakýmkoliv způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením.“
Podle předchozího zákona na ochranu osobních údajů i nově podle GDPR je možné, vedle zpracování osobních údajů se souhlasem jednotlivce, například zaměstnance, zpracovávat osobní údaje i za účelem ochrany oprávněných zájmů správce osobních údajů, tedy zaměstnavatele.
Služební průkaz ano, sociální sítě ne
„V praxi není možné pořídit fotografii zaměstnance na identifikační kartu, aniž by s tím vyslovil souhlas, tj. dostavil se k fotografovi nebo přinesl vlastní fotografii. Ale zaměstnavatel může po zaměstnanci požadovat za účelem bezpečnosti na pracovišti, aby měl u sebe vždy viditelně kartu se svojí podobenkou. A tyto údaje pro účely evidence osob, které mají povolený vstup do budovy nebo na určité pracoviště, evidovat a dále zpracovávat,“ Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha a expertka na GDPR.
To podle ní znamená, že zpracovávat fotografii pak může zaměstnavatel už bez souhlasu pracovníka, pokud se bude držet původního účelu, tedy zajištění bezpečnosti na pracovišti.
Rovněž u používání snímků zaměstnanců na webu, sociálních sítích nebo ve výročních zprávách budou platit stejná pravidla, jako dříve. Mnoho firem je však příliš nedodržovalo. „Budou platit stejná pravidla jako doposud, pořizovat fotografie a jejich použití lze jen se souhlasem zaměstnanců,“ zmiňuje Karin Pomaizlová.
Podle ní si lze představit situace, kdy jsou v rámci nějaké firemní akce, jako jsou školení, teambuilding, vánoční večírek, recepce pro klienty zaměstnavatele a podobně, pořizovány fotografie účastníků. Opět i v tomto případě platí obecné pravidlo občanského práva, že „zachytit jakýmkoliv způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením.“
Pózování není souhlas
Firmy toto pravidlo často podceňují. „I když někdo zapózuje fotografovi, ještě to neznamená, že dal souhlas k užití dle představ organizátora akce, tedy zaměstnavatele. Protože nejde o zpracování osobních údajů, kdy by právním titulem ke zpracování bylo plnění smlouvy, jejíž smluvní stranou by byla fotografovaná osoba, nebo splnění právní povinnosti správce nebo ochrana životně důležitých zájmů oné osoby nebo jiné fyzické osoby. A nejde ani o ochranu oprávněných zájmů správce či třetí strany, kdy tyto mají přednost před zájmy a základními právy a svobodami subjektu údajů vyžadující ochranu osobních údajů,“ upozorňuje Karin Pomaizlová.
V těchto případech proto bude třeba si vyžádat souhlas osob na fotografii. „A to včetně zaměstnanců, aby jejich fotografie z firemní akce mohl zaměstnavatel použít pro marketingové účely v rámci propagace firmy nebo pro jiné HR účely, interně například pro ročenku, intranetovou stránku,” zmiňuje Karin Pomaizlová. To však podle ní neznamená nutně získání písemného souhlasu, vždy záleží na okolnostech.
Z toho však mohou vznikat nedorozumění a budoucí spory. „Ne u všech typů fotek musí být souhlas a lidé se v těch předpisech moc nevyznají. Souhlas také nemusí být písemný. Podle některých právníků je naopak v pořádku, že když někoho požádáte, aby na firemní akci zapózoval pro informační článek na Facebook a on vyhoví, tak se to dá považovat za souhlas,“ popisuje Jiří Halbrštát, manažer personální společnosti ManpowerGroup, další z používaných výkladů.
Za používání fotografií zaměstnanců bez jejich souhlasu hrozí firmám sankce. A ne malé. „Hrozí pokuty až do výše 20 milionů eur, ale zatím k tomu ještě není prováděcí předpis, takže posuzování u soudu ještě není známé,“ vypočítává Jiří Halbrštát.
Pokuty nebudou stejné pro všechny
Podle odborníků ale není reálné, že by právě za tento prohřešek byla pokuta vyměřena v maximální výši. „Správní pokuty se ukládají podle okolností každého jednotlivého případu. Horní hranice sankcí, které jsou často v mediích používány jako strašák GDPR, jsou opravdu pouze horní hranice, které sankce nesmějí překročit. Směrnice stanovuje, že ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující. Jinými slovy, za stejný prohřešek mohou být stanoveny velmi rozdílné sankce,“ upozorňuje Jana Kaplická, hlavní účetní a koordinátorka pro GDPR portálu Profesia.sk.
Podle ní bude záležet na tom, kdo nařízení poruší. „Jiná výše sankce bude stanovena u nadnárodní korporace a jiná u malé lokální firmy s malým počtem zaměstnanců. Dále je podstatné, že ne za každé porušení obecného nařízení musí být udělena pokuta. Správce může být například nejprve upozorněn, že zamýšlené operace zpracování pravděpodobně porušují obecné nařízení, nebo může být uděleno napomenutí,“ zdůrazňuje Jana Kaplická.
Dohled nad dodržováním směrnice i ukládáním sankcí zajišťuje v ČR Úřad pro ochranu osobních údajů (ÚOOÚ). „Žádná tabulka s výčtem prohřešků a výší sankce neexistuje, a ani nikdy existovat nebude, protože by popřela popsaná základní pravidla udělování sankcí,“ připojuje Jana Kaplická.
České firmy podle jejích zkušeností nakládání s fotografiemi zaměstnanců zatím moc neřešily. „Nyní se postoj mění. Zaměstnavatelé, kteří se o GDPR zajímají, budou opatrní. Ti, co nařízení ignorují, si počkají na prvního nespokojeného zaměstnance, který je nahlásí na ÚOOÚ a po provedení kontroly budou nuceni změny provést,“ předpokládá Jana Kaplická.
Generální souhlas není možný
Firmy si zároveň nepomohou, pokud zaměstnancům předloží při podpisu pracovní smlouvy „generální souhlas“ se zveřejňováním fotografií. „Toto rozhodně v souladu s GDPR nebude. Jakýkoliv souhlas s nakládáním s osobními údaji nesmí být součástí pracovní smlouvy a nesmí být všeobecný. Musí být naprosto dobrovolný, tedy mimo pracovně právní dokumenty. Zaměstnavatel musí být přípraven na možnost, že tento souhlas nedostane. Nebo bude souhlas odvolán,“ zdůrazňuje Jana Kaplická.
Kromě toho musí být podle ní souhlas vždy konkrétní. „To znamená souhlas s používáním konkrétní fotografie na profilu, v mailech, na Skypu či jiných komunikačních kanálech a podobně. Předpokládá se, že fotografie z firemních akcí ‚zveřejněné‘ ve společenské místnosti zaměstnavatele, kam nemají přístup lidé zvenku, ÚOOÚ vadit nebudou. Rozhodně by nebylo moudré je ale zveřejnit na webových stránkách a podobně. Jak se bude zacházet s fotografiemi na ročenkách společností, zatím netušíme. Opatrnost ale je rozhodně u větších společností namístě,“ soudí Jana Kaplická.
Pro firmy je navíc komplikací, že i v případě, že měli z minulosti souhlas pracovníků se zveřejněním snímků, který ale nesplňuje parametry GDPR, musí si opatřit souhlas znovu. „Musí ‚doplnit‘ tento souhlas, pokud původní souhlas nesplňoval standardy GDPR, aby fotografie mohly dále zpracovávat,“ uzavírá Karin Pomaizlová.
Dalibor Dostál