K předvánočnímu času neodmyslitelně patří firemní večírky. Přestože řada z nich byla kvůli covidu zrušena, možná plánujete alespoň malý večírek v rámci oddělení. A jak lépe uchovat vzpomínku na tyto akce než pomocí fotografií? Nezapomínejte však, že pořizování a zveřejňování fotek zaměstnanců může být z hlediska GDPR problematické. Proč vyžadování souhlasu není vždy nejlepším řešením?
Prosinec je náročný měsíc. Často se snažíme dotáhnout do konce všechny rozdělané projekty a co nejvíce se soustředit na práci, ale zároveň chceme věnovat čas vánočnímu nakupování, pečení a trávení času s rodinou. Vánoce jsou navíc také časem firemních a klientských večírků, na nichž máme možnost poznat kolegy trochu jinak, připít na zdraví generálnímu řediteli a spořádat množství chlebíčků.
Víte, kdo miluje vánoční večírky? Vaše marketingové oddělení či kolegové, kteří mají na starosti firemní sociální sítě, na nichž pak fotografie z vánočního večírku rádi sdílejí. Zveřejňování fotografií zaměstnanců jsme se na stránkách Zpravodaje věnovali opakovaně, není však na škodu si v tento předvánoční čas celou problematiku připomenout.
Chtíc, aby zpracovával…
Málokteré téma je v rámci různých firem vnímáno, chápáno a řešeno tak rozdílně jako zpracovávání osobních údajů zaměstnanců prostřednictvím fotografií. Téma fotografií se otevřelo s příchodem GDPR hlavně ve školství, odkud se velmi rychle přesunulo do firemního prostředí, kde způsobuje noční můry dodnes.
Ostatně první názory na tuto věc zněly velmi přísně – pokud pořizujete (a následně i zveřejňujete) fotky kohokoliv, potřebujete k tomu jeho svobodný souhlas, přičemž u hromadných fotografií je nutno osoby, které souhlas neudělily, anonymizovat nebo anonymizaci provést zpětně v případě, že zaměstnanec souhlas odvolá.
Ptát se kolegy uprostřed večírku, zda souhlasí s focením, nemusí být nejlepší nápad
Poměrně právem všem přišla bizarní představa, že před rozdáváním dárků od Ježíška (nebo Santy, chcete-li) každý ze zaměstnanců podepíše souhlas s pořízením fotografie, aby mohla být následně vyvěšena na firemní nástěnce v útrobách společnosti. Nicméně i touto cestou se mnozí zaměstnavatelé rozhodli jít.
Vy však už jistě dobře znáte poučku, která zní, že pokud některé zpracování osobních údajů zaměstnanců nespadá pod zákon, smlouvu či oprávněný zájem, pravděpodobně bychom ho neměli provádět vůbec. Důvod je ten, že souhlas zaměstnance nemusí být úplně svobodný, neboť zaměstnanec má obavy z následků, které by přišly, pokud by souhlas neudělil (přijde o práci, povýšení či zvýšení platu). Při pořizování fotografií bude vždy záležet na konkrétním účelu a případu. Pro některé operace související se zveřejněním fotografií se souhlas obecně předpokládá.
Fotky, fotky, kdopak vám dal souhlas?
Co se týče zpracování osobních údajů v našem večírkovém případě, ÚOOÚ se k této věci vyjádřil v rámci svého FAQ k zaměstnavatelům tak, že „zveřejňuje-li zaměstnavatel fotografie zaměstnanců z pořádaných firemních akcí na svých webových stránkách, jde o záležitost nespadající do GDPR, ale do práva občanského“.
Toto vyjádření navazuje na předchozí přístup ÚOOÚ v rámci aktualizovaného stanoviska č. 12/2012 (aktualizace k říjnu 2017) k použití fotografie, obrazového a zvukového záznamu fyzické osoby. V tomto stanovisku ÚOOÚ rozdělil nakládání s fotografiemi celkem do čtyř režimů:
Fotografie, na které nedopadá obecně GDPR – jedná se o fotografie, u nichž není vytvářena evidence ani k nim nejsou systematicky přiřazovány další osobní údaje (například označování osob). Takové fotografie se mají řídit právní úpravou občanského zákoníku. Je však vhodné říct, že vždy bude záležet na tom, za jakými účely se fotografie pořizuje a zveřejňuje.
Zpracování pro osobní a domácí činnosti fyzické osoby – i toto zpracování by dle ÚOOÚ mělo probíhat na základě občanského zákoníku, nikoliv GDPR. V tomto případě však platí, že nelze jakoukoliv činnost pro interní účely právnické osoby postavit na roveň s osobními a domácími účely fyzické osoby.
Zpracování osobních údajů dle GDPR – tedy vše ostatní, než případy 1 a 2.
Zpracování citlivých údajů dle GDPR – to však v rámci firemních večírků zpravidla nenastává.
Pro připomenutí, občanský zákoník jako obecný předpis soukromého práva upravuje, za jakých okolností lze pořídit a šířit podobiznu osoby. Dle § 84 občanského zákoníku lze podobu člověka zachytit tak, aby jej podle daného zobrazení šlo identifikovat, pouze na základě jeho svolení, a to platí i pro rozšiřování takové fotografie. Občanský zákoník pak obsahuje dle § 85 pravidlo, že svolí-li někdo k zachycení své podoby za okolností, z nichž je zřejmé, že bude snímek šířen, platí, že svoluje i k jeho rozmnožování a rozšiřování obvyklým způsobem, jak je mohl vzhledem k okolnostem rozumně předpokládat.
V tomto duchu můžeme fotografie z vánočních večírků rozdělit do tří skupin a podle toho k nim i přistupovat:
Kontextuální fotografie – fotografie plného sálu, z nichž není poznat, kdo je kdo. V tomto případě se nejedná ani o zpracování osobních údajů, ani o zachycení podobizny dle občanského zákoníku. S pořízením takových fotografií by se tedy neměly pojit přísnější podmínky, nicméně je nutno upozornit na poměrně důležitou věc, a sice že potenciálně je téměř každá osoba skoro vždy identifikovatelná (například díky spojení s dalšími fotografiemi), proto je vhodné s tímto přístupem spíše šetřit.
Hromadné fotografie – fotografie, ze kterých je sice poznat, kdo je kdo, ale jedná se o „přirozeně“ pořízené fotografie. Takové snímky budou spadat pod režim občanského zákoníku, jestliže jeho zveřejnění nebude extenzivní (například ve formě billboardu u dálnice a podobně). Zkrátka a dobře, v tomto duchu je vhodné uvažovat spíše o interních účelech.
Ostatní fotografie pravděpodobně budou spadat pod režim GDPR. Jaký právní titul ale zvolit? V úvahu připadá oprávněný zájem či souhlas.
Kontrola, kontrola, Štěpáne….
Problematice uveřejnění fotografií se ÚOOÚ v minulosti věnoval v rámci kontroly státní příspěvkové organizace (UOOU-03225/19). Kontrola byla zahájena na základě stížnosti bývalé zaměstnankyně, jejíž fotografie kontrolovaná osoba uveřejňovala na svých internetových stránkách, a to na základě údajně uděleného souhlasu. Stěžovatelka se proti tomu ohradila a požadovala výmaz. Zaměstnavatel však přehodnotil právní titul a rozhodl, že dané zpracování vlastně neprobíhá na základě souhlasu, nýbrž oprávněného zájmu, a dokonce předložil zaměstnankyni balanční test.
ÚOOÚ vyhodnotil, že předložený balanční test neprokázal, že by dané zpracování bylo nezbytné pro oprávněné zájmy správce. Důvodem bylo mimo jiné i vypořádání se s posouzením možných rizik pro zaměstnance, neboť kontrolovaná osoba se dle slov ÚOOÚ spokojila pouze s prostým konstatováním, že ve vztahu k subjektu údajů žádná rizika neexistují. ÚOOÚ však nevyloučil (respektive potvrdil), že některá zveřejňování fotografií mohou být nezbytná pro oprávněné zájmy správce. Vždy by mělo jít o situace, které souvisejí s pracovněprávním vztahem, nikoliv každá operace, která nám přijde jako dobrý nápad. Ostatně v rámci zmíněného FAQ ÚOOÚ uvádí: „V rámci zpracování osobních údajů zaměstnavatelem jsou typickými situacemi, kdy zaměstnavatel pracuje s fotografiemi, vyhotovení zaměstnaneckých průkazů nebo uvedení pracovních pozic na internetových stránkách. Typickým právním důvodem pro taková zpracování fotografií jsou oprávněné zájmy zaměstnavatele podle GDPR.“
O něco konkrétnější přístup však zvolil ÚOOÚ v případě kontroly školy (UOOU-08244/18-15), která dostala pokutu za uveřejňování fotografií bývalé lektorky na Facebooku, a to ačkoliv bývalá zaměstnankyně školu třikrát upozornila, že si to nepřeje. Škola na tyto výzvy ani na upozornění ÚOOÚ nereagovala, a proto jí byla udělena pokuta deset tisíc korun. ÚOOÚ sdělil, že zveřejnit fotografie bývalého zaměstnance je možné pouze s jeho souhlasem.
Jak dopadá otázka souhlasu na naše firemní večírky? Ve vztahu k vánočnímu večírku se pravděpodobně nebude jednat o ten nejvhodnější právní základ. Obecně si v rámci marketingových aktivit povětšinou s ničím jiným nevystačíme, nicméně získávat odpověď od kolegy v mírně podroušeném stavu, zda souhlasí s uveřejněním nezvykle odvážného tanečku s kolegyní z účtárny na sociálních sítích, nemusí být úplně dobrý nápad. V konečném důsledku tak platí, že vždy bude záležet na účelech pořízení daných fotografií a na dalším nakládání s nimi. Větší problémy pravděpodobně nenastanou v případě, že se fotografie pořizují výhradně pro interní účely a pro zaznamenání decentních okamžiků z firemní kultury. V jiných případech však bude záležet na dalších parametrech fotografie, tedy nejen na způsobu užití, ale i na jejich obsahu (zda je osoba identifikovatelná či zda vyobrazovaná činnost nemůže osobu potenciálně poškodit).
Půjdem spolu na večírek…
Ať už váš vánoční večírek dopadne jakkoliv, platí, že otázka pořizování a zveřejňování fotografií zaměstnanců není tak jednoduchá, jak by se mohlo zdát. Dle různých způsobů pořízení i užití mohou totiž fotografie spadat pod různé režimy zpracování osobních údajů. Všechny tyto informace důvěrně znáte z předchozích čísel Zpravodaje, berte tedy tento článek jako připomenutí, že tato pravidla platí i pro vánoční večírky, které se odehrávají jednou za rok, a je třeba si na to dát pozor. Přejeme vám klidné Vánoce v co nejširším kruhu vašich blízkých a pokud možno pěkné vzpomínky na firemní večírek.
Článek byl publikován v Elektronickém zpravodaji pro pověřence.