Nařízení GDPR přineslo od své účinnosti celou řadu změn a povinností týkajících se ochrany osobních údajů zaměstnanců a obchodních partnerů. V praxi se setkáváme s tím, že zaměstnavatelé a personalisté si mnohdy nejsou jistí, jak s osobními údaji zaměstnanců nakládat, jak dlouho mohou jednotlivé osobní údaje uchovávat či jak postupovat při skončení pracovního poměru se zaměstnancem.

V tomto článku naleznete praktická doporučení, jak správně řešit situace při zpracování osobních údajů zaměstnanců, se zaměřením na zveřejňování fotografií. Pro přehlednost se podíváme na specifika tohoto tématu v kontextu GDPR.

V případě jakýchkoliv dotazů týkající se nastavení ochrany osobních údajů nás neváhejte kontaktovat. Rádi vám poradíme se správným postupem.

Přehled nejčastějších pojmů

Pro snazší orientaci uvádíme nejprve přehled právních předpisů a nejvíce používaných pojmů a základních zásad, které se se zpracováním osobních údajů pojí:

• Nařízení GDPR: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
• Zákoník práce: Zákon č. 262/2004 Sb., zákoník práce.
• Občanský zákoník: Zákon č. 89/2012, občanský zákoník.
• Osobní údaj: Osobním údajem se rozumí jakýkoliv údaj, na jehož základě je možné identifikovat konkrétní fyzickou osobu. V pracovněprávní oblasti bude subjektem údajů zpravidla zaměstnanec, ale mohou to být také rodinní příslušníci zaměstnance či osoby nacházejících se v prostorech zaměstnavatele, kteří budou snímáni prostřednictvím kamer. Subjektem údajů není právnická osoba.
• Správce: Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracováním osobních údajů je tak např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů.

Zásady zpracování osobních údajů

• Zásada zákonnosti: Tato zásada bývá označována také jako zásada korektnosti a transparentnosti. Spočívá v tom, že správce osobních údajů musí mít pro zpracování osobních údajů nejméně jeden právní důvod a veškeré zpracování osobních údajů musí být prováděno transparentním způsobem.
• Zásada minimalizace osobních údajů: Minimalizace osobních údajů znamená, že správce zpracovává pouze takové osobní údaje, které jsou adekvátní a potřebné k účelu, pro který je správce shromažďuje. Zaměstnavatel by tak měl od svých zaměstnanců získávat pouze ty osobní údaje, které jsou skutečně nezbytné pro plnění smlouvy.
• Zásada přesnosti: Dle této zásady by měl správce zpracovávat pouze přesné osobní údaje.
• Zásada omezení účelu: Omezení účelu znamená, že osobní údaje je možné shromažďovat a zpracovávat pouze pro určité a legitimní účely. V případě pracovněprávních vztahů bude zpracování osobních údajů nejčastěji probíhat za účelem plnění pracovní smlouvy a k tomuto účelu je tak nutné osobní údaje využívat.
• Zásada omezení uložení: Dle této zásady by osobní údaje měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu a pouze pro ty účely, pro které jsou zpracovávány.
• Zásada integrity a důvěrnosti: Tato zásada spočívá v přijetí technických a organizačních opatření k zabezpečení osobních údajů.

Výše uvedené zásady je třeba zohlednit při úvahách jaké osobní údaje chci nebo potřebuji zpracovávat a následně je promítnout i do veškerých dokumentů, které budou zacházení s osobními údaji zpracovávat.

Mnoho zaměstnavatelů pravděpodobně řešilo otázku, jak z hlediska zpracování osobních údajů přistupovat ke zpracování fotografií jejich zaměstnanců pořízených a používaných v souvislosti s výkonem práce (např. používání a šíření fotografií zaměstnanců na vstupních kartách, na intranetu zaměstnavatele či internetu), k pořizování fotografií z firemních akcí a jejich případnému sdílení na sociálních sítích.

Právní důvody pro zpracování fotografií

Aby bylo zpracování fotografií zaměstnanců jako subjektů údajů, na kterých jsou zachycené jejich podobizny, a tito zaměstnanci jsou identifikovatelní (případně jsou na fotografii obsaženy další osobní údaje), zákonné, musí se dané zpracování opírat o jeden nebo více právních důvodů vyjmenovaných v článku 6 GDPR.

• Souhlas zaměstnance: Pokud se zaměstnavatel rozhodne, že právním důvodem zpracování fotografií bude souhlas dle čl. 6 odst. 1 písm. a) GDPR, musí tento souhlas splňovat náležitosti dle článku 7 GDPR, tedy musí být mimo jiné svobodný a zaměstnancem kdykoliv odvolatelný. S ohledem na svobodu souhlasu by zaměstnavatel měl být připraven i na možnost, že tento souhlas od zaměstnance nedostane, a v takovém případě nemůže fotografii zachycující podobiznu zaměstnance vůbec pro jím určený účel použít.
• Oprávněný zájem zaměstnavatele: Pokud se zaměstnavatel rozhodne, že právním důvodem zpracování fotografií bude oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR, musí pro každé takové zpracování osobních údajů provést balanční test (test proporcionality). Na základě tohoto testu musí zaměstnavatel vyhodnotit, zda před jeho oprávněným zájmem nemají přednost zájmy nebo práva a svobody subjektu údajů.

Pokud má být právním základem zpracování fotografie zachycující podobiznu zaměstnance souhlas podle čl. 6 odst. 1 písm. a) GDPR, musí tento souhlas splňovat náležitosti dle článku 7 GDPR, tedy musí být mimo jiné svobodný a zaměstnancem kdykoliv odvolatelný. Jak se vyjádřil EDPB ve svém stanovisku č. 2/2017 Ke zpracování osobních údajů na pracovišti, v případě zpracování osobních údajů na pracovišti na základě souhlasu zaměstnance je třeba k nim přistupovat velmi opatrně a po pečlivém uvážení.

Souhlas zaměstnance vždy musí vyjadřovat jeho svobodnou vůli a zaměstnanec musí mít možnost souhlas odmítnout, aniž by byl v zaměstnání poškozen na svých právech, jinak je souhlas neplatný. V této souvislosti je rovněž třeba dodržovat článek 12 GDPR, tzn. že subjekt údajů musí být vždy jasně a plně informován o zpracování jeho osobních údajů.

S ohledem na svobodu souhlasu by zaměstnavatel měl být připraven i na možnost, že tento souhlas od zaměstnance nedostane, a v takovém případě nemůže fotografii zachycující podobiznu zaměstnance vůbec pro jím určený účel použít.

V případě, že zaměstnavatel získal souhlas zaměstnance se zpracováním fotografie před účinností GDPR, měl by posoudit, zda je tento souhlas v souladu s GDPR.

Příklady zpracování fotografií a právní důvody

V souladu s principem ochrany práv a právem chráněných zájmů a v souladu s principem proporcionality lze v některých odůvodněných případech zpracovávat fotografie zaměstnanců za účelem vydání vstupních karet na základě oprávněného zájmu zaměstnavatele a souhlas zaměstnance s použitím fotografie za tímto účelem tak není potřebný.

Příklad: Velká společnost zpracovává fotografie zaměstnanců za účelem identifikace v intranetovém systému. Mají speciální software, kde jsou zveřejněny fotografie (vedoucích a některých pro firmu klíčových zaměstnanců). Po přihlášení do systému vidí zaměstnanci kontaktní údaje s fotografií, aby bylo zajištěno, že skutečně jednají s oprávněnou osobou. Do systému mají přístup i vybraní zaměstnanci z pobočky se sídlem v zahraničí. Není takový postup v rozporu s nařízením GDPR? Podle Vojtěcha Marcína z Úřadu pro ochranu osobních údajů lze použití fotek zaměstnanců v rámci vnitřního systému společnosti za účelem identifikace oprávněných osob posoudit jako oprávněný zájem zaměstnavatele. Hovoří v tomto smyslu článek 6 odst. 1 písm. f) GDPR.

Zaměstnavatel by měl především posoudit počet zaměstnanců, jichž se zpracování týká, a typ bezpečnostních opatření při vstupu do budovy, v níž se nachází pracoviště. Naopak pokud má zaměstnavatel velký počet zaměstnanců, kteří pracují např. v několikapodlažní administrativní budově, případně pokud zaměstnavatel sídlí v administrativní budově s dalšími několika společnostmi, anebo pokud to z povahy (podnikatelské) činnosti zaměstnavatele vyplývá, bude z hlediska bezpečnosti osob a majetku v budově se nacházejících vhodné a lépe ospravedlnitelné, aby zaměstnavatel otiskl na vstupní kartu zaměstnanců jejich fotografii, která bude sloužit ať už k identifikaci osoby pro správce budovy (případně recepci), či k identifikaci v rámci společnosti, v níž je zaměstnanec zaměstnán.

Dle Stanoviska je pro účel zveřejňování fotografií zaměstnanců včetně dalších informací o těchto zaměstnancích potřebný jejich souhlas se zpracováním fotografií (např. pro účely budování firemní kultury nebo prezentace společnosti). U zaměstnanců, kteří představují vedení společnosti (tzv. top management), je situace jiná a zveřejňování jejich fotografií může být oprávněným zájmem zaměstnavatele a souhlas není nutný. Tito zaměstnanci mohou už z povahy své pozice očekávat, že budou pro veřejnost prezentováni jako osoby, které se účastní řízení společnosti.

Souhlas zaměstnance se zpracováním jeho fotografie je nutné získat pro použití fotografie zaměstnavatelem v interním informačním systému zaměstnavatele, kde fotografie slouží k lepšímu rozpoznání zaměstnanců a zjednodušení komunikace mezi zaměstnanci (např.

Při pořizování a zveřejňování fotografií z konferencí nebo školení (ať již pořádaných zaměstnavatelem, či jinou osobou), na nichž lze osobu bezprostředně a jednoznačně identifikovat, by měl pořizovatel či konečný uživatel fotografií primárně získat souhlas. Striktně vzato, má-li být udělení souhlasu dostatečně prokazatelné, pořizovatel či konečný uživatel fotografií by mohl požadovat udělení souhlasu např. při podpisu prezenční listiny (při povinné registraci), přičemž by listina rovněž obsahovala informace o zpracování osobních údajů.

Udělení souhlasu se zpracováním fotografie za uvedeným účelem však nemůže podmiňovat samotnou účast na akci. Také je vhodné přijmout opatření a rozlišovat osoby, které projevily souhlas s fotografováním a které ne.

Pokud budou fotografie zaměstnanců pořizovány a zveřejňovány pouze interně v rámci společnosti (na intranetu pro zdokumentování akce), lze tyto fotografie zpracovávat na základě oprávněného zájmu za splnění následujících podmínek. Je třeba vyhotovit a vyvěsit v místě konání informaci pro zaměstnance nebo informovat předem o pořizování fotografií spolu s odkazem na podmínky zpracování osobních údajů společnosti a s informací o právu podat námitku proti pořizování fotografií. Fotografie zaměstnanců musí být dostupné pouze interně v rámci společnosti a k fotografiím nesmějí být připojovány další osobní údaje zaměstnanců na fotografii (např.

Při pořizování a zveřejňování fotografií, na nichž lze osoby jednoznačně identifikovat, např. na internetu, sociálních sítích nebo propagačních materiálech pro marketingové účely, je písemný souhlas účastníků nezbytně nutný. Souhlas může být součástí prezenční listiny, která je podkladem pro povinnou registraci, ke které by měla být připojena informace o zpracování osobních údajů (viz výše). Souhlas na prezenční listině nemůže být podmínka účasti na akci.

Zaměstnavatelé musí být opatrní při užívání fotografií z hromadných akcí. Pokud se jedná o skupinovou fotografii, zachycující více osob a tyto osoby nejsou dále nijak identifikovány (např. jménem), není souhlas nutný. Pokud však fotíte individuální fotky, například předškoláka u zápisu, pana starostu v kanceláři, nebo máte v plánu uvést jména osob (třeba zrovna v případě toho vítěze), souhlas si vyžádejte a uschovejte.

Obdobně by se měl zaměstnavatel zamyslet nad zpracováním fotografií po skončení pracovního poměru. Zde odpadá oprávněný důvod. Fotografie zveřejněné na internetu, v informačním systému zaměstnavatele či telefonním seznamu by měly být neprodleně zlikvidovány. Naopak u reportážních fotografií to není nezbytné. Ovšem, pokud by zaměstnanec přesto o odstranění fotografie požádal, měl by mu zaměstnavatel vyhovět.

Shrnutí: Zpracování fotografií zaměstnanců zaměstnavatelem není vyloučeno, ale zaměstnavatel se vždy musí zamyslet nad právním důvodem jejich zpracování. Pokud bude zaměstnavatel zpracovávat fotografie zaměstnance na základě souhlasu, musí být tento svobodný a konkrétní a zaměstnanec musí mít možnost ho kdykoliv odvolat. Pokud shledá zaměstnavatel, že má na zpracování fotografií oprávněný zájem a nemusí tedy požádat zaměstnance o souhlas, bude moci zaměstnanec podat proti takovému zpracování námitky.

Společnostem porušujícím pravidla GDPR hrozí sankce, z nichž nejcitelnější jsou peněžité pokuty, které v nejzávažnějších případech můžou dosahovat až 20 milionů eur nebo až 4 % celkového ročního obratu společnosti celosvětově.

Tabulka: Příklady použití fotografií a potřebný právní základ

Použití fotografie	Právní základ	Poznámka
Vstupní karty	Oprávněný zájem	Nutné posoudit proporcionalitu a bezpečnostní rizika
Interní intranet	Souhlas	Doporučeno získat souhlas zaměstnance
Webové stránky společnosti	Souhlas	Nutný výslovný souhlas
Firemní akce (reportážní fotografie)	Oprávněný zájem / Občanský zákoník	Informovat zaměstnance, umožnit vznést námitku
Marketingové materiály	Souhlas	Písemný souhlas je nezbytný

Doporučení: Vyžaduje-li zaměstnavatel po zaměstnancích fotografii (např. pro účely identifikace), doporučují odborníci účel zpracování a povinnosti zaměstnanců (např. informovat o změnách). Pokud zaměstnavatel dostatečně neprokáže důvod (oprávněný zájem), měl by si zajistit souhlas zaměstnance.

Firmy si zároveň nepomohou, pokud zaměstnancům předloží při podpisu pracovní smlouvy „generální souhlas“ se zveřejňováním fotografií. „Toto rozhodně v souladu s GDPR nebude. Jakýkoliv souhlas s nakládáním s osobními údaji nesmí být součástí pracovní smlouvy a nesmí být všeobecný. Musí být naprosto dobrovolný, tedy mimo pracovně právní dokumenty. Zaměstnavatel musí být přípraven na možnost, že tento souhlas nedostane. Nebo bude souhlas odvolán,“ zdůrazňuje Jana Kaplická.

Kromě toho musí být souhlas vždy konkrétní. Předpokládá se, že fotografie z firemních akcí ‚zveřejněné‘ ve společenské místnosti zaměstnavatele, kam nemají přístup lidé zvenku, ÚOOÚ vadit nebudou. Rozhodně by nebylo moudré je ale zveřejnit na webových stránkách a podobně. Jak se bude zacházet s fotografiemi na ročenkách společností, zatím netušíme. Opatrnost ale je rozhodně u větších společností namístě,“ soudí Jana Kaplická.

Pro firmy je navíc komplikací, že i v případě, že měli z minulosti souhlas pracovníků se zveřejněním snímků, který ale nesplňuje parametry GDPR, musí si opatřit souhlas znovu.

tags: #zverejnovani #fotografii #zamestnancu #GDPR

Oblíbené příspěvky:

• Praktické příklady výpočtu mzdy
• Postupy propouštění pacientů
• Práva zaměstnanců na lékaře
• Výpočet průměrného platu
• Firmy s největším počtem zaměstnanců