Mnoho zaměstnavatelů pravděpodobně řešilo otázku, jak z hlediska zpracování osobních údajů přistupovat ke zpracování fotografií jejich zaměstnanců pořízených a používaných v souvislosti s výkonem práce (např. používání a šíření fotografií zaměstnanců na vstupních kartách, na intranetu zaměstnavatele či internetu), k pořizování fotografií z firemních akcí a jejich případnému sdílení na sociálních sítích. Od účinnosti nové evropské legislativy upravující ochranu osobních údajů (GDPR) uplynul více než rok a půl, a za tuto dobu se již značně vyvinula praxe jak Evropského sboru pro ochranu osobních údajů („EDPB“), tak národních úřadů dohlížejících na ochranu osobních údajů na území členských států a potažmo celé Evropské unie. Nicméně i přes posun v interpretaci GDPR kompetentními orgány stále není zcela jasné, jaký právní důvod zpracování osobních údajů pro pořizování a zveřejňování fotografií zaměstnanců mohou zaměstnavatelé v jednotlivých případech legitimně použít.
Právní rámec zpracování fotografií
GDPR
Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „GDPR“) zpracování fotografií zachycujících podobiznu konkrétní osoby samostatně nevymezuje, a zmiňuje se o něm jen v recitále v bodě 51. Ve jmenovaném recitálu GDPR stanoví, že zpracování fotografií by nemělo být a priori považováno za zpracování zvláštních kategorií osobních údajů za předpokladu, že fotografie neobsahuje biometrický údaj, a to i přesto, že je možné z fotografií získat například údaje o rasovém či etnickém původu osoby.
Česká legislativa a přístup českého dozorového úřadu
Zákon č. 110/2019 Sb., o zpracování osobních údajů, který upravuje některé otázky jemu svěřené nařízením GDPR, se rovněž problematikou zpracování fotografií blíže nezabývá.
Problematikou se však zabývá český dozorový orgán. Úřad pro ochranu osobních údajů (dále jen „Úřad“) ve svém nezávazném stanovisku dovodil, že nejde o zpracování zvláštních kategorií osobních údajů, pokud jsou informace z fotografie používané pouze pro rozlišení podoby ve srovnání s jinými osobami a tyto informace nejsou dále zpracovávány.
Úřad k problematice zpracování fotografií v minulosti vydal stanovisko č. 12/2012 (v aktualizovaném znění z října 2017) – K použití fotografie, obrazového a zvukového záznamu fyzické osoby (dále jen „Stanovisko“) – a dále pouze okrajově řeší zpracování fotografií zaměstnanců v sekci Často kladené otázky v oblasti „Zaměstnavatelé“, které jsou zveřejněny na stránkách Úřadu. Zpracování fotografií může dle Stanoviska spadat pod různé právní režimy – např. pod režim zákona č. 89/2012 Sb., občanský zákoník (dále jen „občanský zákoník“), který se podle Stanoviska použije při pořízení a následném použití fotografií fyzické osoby, kdy nedochází ke zpracování podle čl. 4 odst. 2 GDPR. S uvedeným nelze úplně souhlasit, neboť pokud je z fotografie možné určit, o koho jde (tj. jednoznačně identifikovat osobu), v takových případech jde o zpracování osobních údajů ve smyslu čl. 4 odst. 2 GDPR.
Právní důvody zpracování fotografií zachycujících podobizny zaměstnanců
Aby bylo zpracování fotografií zaměstnanců jako subjektů údajů, na kterých jsou zachycené jejich podobizny, a tito zaměstnanci jsou identifikovatelní (případně jsou na fotografii obsaženy další osobní údaje), zákonné, musí se dané zpracování opírat o jeden nebo více právních důvodů vyjmenovaných v článku 6 GDPR. V praxi nejčastěji uplatňovanými právními důvody budou oprávněný zájem a souhlas subjektu údajů se zpracováním osobních údajů.
Pokud se zaměstnavatel rozhodne, že právním důvodem zpracování fotografií bude oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR, musí pro každé takové zpracování osobních údajů provést balanční test (test proporcionality). Na základě tohoto testu musí zaměstnavatel vyhodnotit, zda před jeho oprávněným zájmem nemají přednost zájmy nebo práva a svobody subjektu údajů. Zaměstnanci musí být zároveň umožněno podat námitku proti zpracování osobních údajů, pokud nesouhlasí se zpracováním fotografie s jeho podobiznou na základě oprávněného zájmu určeného zaměstnavatelem.
Pokud má být právním základem zpracování fotografie zachycující podobiznu zaměstnance souhlas podle čl. 6 odst. 1 písm. a) GDPR, musí tento souhlas splňovat náležitosti dle článku 7 GDPR, tedy musí být mimo jiné svobodný a zaměstnancem kdykoliv odvolatelný. Jak se vyjádřil EDPB ve svém stanovisku č. 2/2017 Ke zpracování osobních údajů na pracovišti, v případě zpracování osobních údajů na pracovišti na základě souhlasu zaměstnance je třeba k nim přistupovat velmi opatrně a po pečlivém uvážení. Zaměstnanec a zaměstnavatel jsou ve vztahu podřízenosti a nadřízenosti a z toho důvodu souhlas nemusí vždy splňovat jednu ze svých základních náležitostí podle GDPR, a to že musí být udělen svobodně.
Souhlas zaměstnance vždy musí vyjadřovat jeho svobodnou vůli a zaměstnanec musí mít možnost souhlas odmítnout, aniž by byl v zaměstnání poškozen na svých právech, jinak je souhlas neplatný. V této souvislosti je rovněž třeba dodržovat článek 12 GDPR, tzn. že subjekt údajů musí být vždy jasně a plně informován o zpracování jeho osobních údajů. S ohledem na svobodu souhlasu by zaměstnavatel měl být připraven i na možnost, že tento souhlas od zaměstnance nedostane, a v takovém případě nemůže fotografii zachycující podobiznu zaměstnance vůbec pro jím určený účel použít. V případě, že zaměstnavatel získal souhlas zaměstnance se zpracováním fotografie před účinností GDPR, měl by posoudit, zda je tento souhlas v souladu s GDPR. Nesplňuje-li tento souhlas náležitosti vyžadované GDPR, musí zaměstnavatel získat nový souhlas, aby mohl fotografie nadále užívat.
Konkrétní případy a právní důvody zpracování fotografií zaměstnanců
Tato část článku je věnována vybraným případům použití jednotlivých právních důvodů pro zpracování fotografií zaměstnanců v praxi a rozlišuje situace, v nichž postačuje oprávněný zájem, a situace, v nichž je třeba získat souhlas zaměstnance.
Vstupní karty zaměstnanců
V souladu s principem ochrany práv a právem chráněných zájmů a v souladu s principem proporcionality lze v některých odůvodněných případech zpracovávat fotografie zaměstnanců za účelem vydání vstupních karet na základě oprávněného zájmu zaměstnavatele a souhlas zaměstnance s použitím fotografie za tímto účelem tak není potřebný. Zaměstnavatel musí posoudit, zda je použití fotografie na vstupní kartě nutné a zda nelze dosáhnout účelu zaměstnavatele (v daném případě půjde zpravidla o bezpečnost na pracovišti) jiným způsobem.
Zaměstnavatel by měl především posoudit počet zaměstnanců, jichž se zpracování týká, a typ bezpečnostních opatření při vstupu do budovy, v níž se nachází pracoviště. V případě zaměstnavatelů s velmi malým počtem zaměstnanců, kteří se každý den setkávají na jednom pracovišti, a kde je velmi jednoduché zkontrolovat, kdo se na pracovišti pohybuje, nebude zcela zjevně nutné, aby zaměstnavatelé požadovali opatření vstupních karet fotografiemi zaměstnanců.
Naopak pokud má zaměstnavatel velký počet zaměstnanců, kteří pracují např. v několikapodlažní administrativní budově, případně pokud zaměstnavatel sídlí v administrativní budově s dalšími několika společnostmi, anebo pokud to z povahy (podnikatelské) činnosti zaměstnavatele vyplývá, bude z hlediska bezpečnosti osob a majetku v budově se nacházejících vhodné a lépe ospravedlnitelné, aby zaměstnavatel otiskl na vstupní kartu zaměstnanců jejich fotografii, která bude sloužit ať už k identifikaci osoby pro správce budovy (případně recepci), či k identifikaci v rámci společnosti, v níž je zaměstnanec zaměstnán. Fotografii nelze umístit na vstupní kartu bez vědomí zaměstnance, proto by o jejím zpracování měl být zaměstnanec předem informován.
Zveřejňování fotografií zaměstnanců na internetu a intranetu
Dle Stanoviska je pro účel zveřejňování fotografií zaměstnanců včetně dalších informací o těchto zaměstnancích potřebný jejich souhlas se zpracováním fotografií (např. pro účely budování firemní kultury nebo prezentace společnosti). U zaměstnanců, kteří představují vedení společnosti (tzv. top management), je situace jiná a zveřejňování jejich fotografií může být oprávněným zájmem zaměstnavatele a souhlas není nutný. Tito zaměstnanci mohou už z povahy své pozice očekávat, že budou pro veřejnost prezentováni jako osoby, které se účastní řízení společnosti. O takovém zveřejnění fotografií však musejí být i tito zaměstnanci vždy předem informováni.
Souhlas zaměstnance se zpracováním jeho fotografie je nutné získat pro použití fotografie zaměstnavatelem v interním informačním systému zaměstnavatele, kde fotografie slouží k lepšímu rozpoznání zaměstnanců a zjednodušení komunikace mezi zaměstnanci (např. Skype, Outlook, intranet).
Fotografie z konferencí nebo školení
Při pořizování a zveřejňování fotografií z konferencí nebo školení (ať již pořádaných zaměstnavatelem, či jinou osobou), na nichž lze osobu bezprostředně a jednoznačně identifikovat, by měl pořizovatel či konečný uživatel fotografií primárně získat souhlas. Striktně vzato, má-li být udělení souhlasu dostatečně prokazatelné, pořizovatel či konečný uživatel fotografií by mohl požadovat udělení souhlasu např. při podpisu prezenční listiny (při povinné registraci), přičemž by listina rovněž obsahovala informace o zpracování osobních údajů. Udělení souhlasu se zpracováním fotografie za uvedeným účelem však nemůže podmiňovat samotnou účast na akci. Také je vhodné přijmout opatření a rozlišovat osoby, které projevily souhlas s fotografováním a které ne. To lze zajistit například tak, že osoby, které souhlasily s fotografováním, budou usazeny na jedné straně místnosti a osoby, které nesouhlasily, na druhé.
Přednášející, není-li zaměstnancem, by měl umožnit pořízení a další zpracování fotografie zachycující jeho podobu a informace o tom, že bude vyfotografován, by měla být zahrnuta již ve smlouvě. Právním důvodem zpracování v tomto případě může být oprávněný zájem organizátora.
V případech, kdy účastník z fotografie není jednoznačně identifikovatelný nebo jsou účastníci fotografováni zezadu (vpředu je přednášející) nebo se jedná o fotografování velkého davu lidí bez rozpoznání obličejů, nejde o zpracování osobních údajů a ani o zásah do osobnostních práv podle občanského zákoníku.
Firemní akce, teambuildingy
Podle Úřadu tato problematika nespadá do oblasti GDPR, ale do problematiky občanského zákoníku. I přes uvedené je taktéž v těchto případech zapotřebí dodržovat dikci GDPR, neboť se může jednat o zpracování osobních údajů ve smyslu čl. 4 odst. 2 GDPR, obzvláště jsou-li fotografie s jednoznačně identifikovatelnými osobami používány pro prezentaci zaměstnavatele a jeho zaměstnanců, popř. zachycují-li fotografie zaměstnance v neobvyklých situacích. Při pořizování a zveřejňování fotografií z firemních akcí a určování právního základu zpracování těchto fotografií je třeba rozlišovat, kde budou fotografie zveřejněny.
Pokud budou fotografie zaměstnanců pořizovány a zveřejňovány pouze interně v rámci společnosti (na intranetu pro zdokumentování akce), lze tyto fotografie zpracovávat na základě oprávněného zájmu za splnění následujících podmínek. Je třeba vyhotovit a vyvěsit v místě konání informaci pro zaměstnance nebo informovat předem o pořizování fotografií spolu s odkazem na podmínky zpracování osobních údajů společnosti a s informací o právu podat námitku proti pořizování fotografií. Fotografie zaměstnanců musí být dostupné pouze interně v rámci společnosti a k fotografiím nesmějí být připojovány další osobní údaje zaměstnanců na fotografii (např. jméno, příjmení).
Při pořizování a zveřejňování fotografií, na nichž lze osoby jednoznačně identifikovat, např. na internetu, sociálních sítích nebo propagačních materiálech pro marketingové účely, je písemný souhlas účastníků nezbytně nutný. Souhlas může být součástí prezenční listiny, která je podkladem pro povinnou registraci, ke které by měla být připojena informace o zpracování osobních údajů (viz výše). Souhlas na prezenční listině nemůže být podmínka účasti na akci. I zde platí, že je vhodné přijmout opatření a rozlišovat osoby, které projevily souhlas s fotografováním a které ne, jak bylo popsáno výše.
Kontrolní činnost Úřadu
Úřad v souvislosti s účinností GDPR provedl kontroly u některých správců a zpracovatelů osobních údajů. Dle informací publikovaných na jeho webových stránkách dosud Úřad udělil několik pokut za porušení povinností vyplývajících z GDPR.
V případě zveřejňování fotografií projednávaném pod č. UOOU-08244/18-15 uložil Úřad příkazem ze dne 10. ledna 2019 pokutu ve výši 10 000 Kč za porušení povinnosti zpracovávat osobní údaje na základě některého právního důvodu uvedeného v čl. 6 odst. 1 GDPR. Porušení správce spočívalo v tom, že škola, ve které byla zaměstnankyně zaměstnaná jako lektorka, zveřejňovala na svém profilu na sociální síti Facebook její osobní údaje včetně fotografie i přesto, že zaměstnankyně tam už nepracovala a po skončení pracovního poměru písemně požádala školu o výmaz fotografií (třikrát). Když se tak nestalo, podala podnět na Úřad, který začal ve věci jednat a poslal škole upozornění na porušení povinnosti při zpracování osobních údajů.
Škola na upozornění Úřadu nereagovala, a to ani na výzvu k nápravě protiprávního stavu. Po opětovné kontrole stránek Facebook školy (zaměstnavatele), na nichž stále byla zveřejněna fotografie bývalé zaměstnankyně, Úřad považoval za prokázané porušení čl. 6 odst. 1 GDPR a přistoupil k uložení výše uvedené sankce. Úřad konstatoval, že zveřejnění fotografie o bývalém zaměstnanci je možné pouze s jeho předešlým souhlasem, a protože tato bývalá zaměstnankyně žádný souhlas neudělila, škola měla fotografie okamžitě vymazat, jakmile k tomu byla vyzvána. Úřad se nejprve snažil o odstranění protiprávního stavu komunikací se školou s konstatováním, že pokud by škola spolupracovala, pokuta mohla být nižší nebo nemusela být udělena vůbec.
Závěr
Zpracování fotografií zaměstnanců zaměstnavatelem není vyloučeno, ale zaměstnavatel se vždy musí zamyslet nad právním důvodem jejich zpracování. Pokud bude zaměstnavatel zpracovávat fotografie zaměstnance na základě souhlasu, musí být tento svobodný a konkrétní a zaměstnanec musí mít možnost ho kdykoliv odvolat. Pokud shledá zaměstnavatel, že má na zpracování fotografií oprávněný zájem a nemusí tedy požádat zaměstnance o souhlas, bude moci zaměstnanec podat proti takovému zpracování námitky. Zaměstnanec se také může obrátit na Úřad, který vykonává dohled nad dodržováním GDPR.
Společnostem porušujícím pravidla GDPR hrozí sankce, z nichž nejcitelnější jsou peněžité pokuty, které v nejzávažnějších případech můžou dosahovat až 20 milionů eur nebo až 4 % celkového ročního obratu společnosti celosvětově. Pokutám může za jistých okolností předcházet výzva Úřadu k přijetí nápravných opatření, přičemž po jejich přijetí může Úřad uložit nižší pokutu, případně nemusí uložit žádnou pokutu. Správní pokuty se ukládají podle okolností konkrétního případu, k tomu blíže viz např. Pokyny k uplatňování a stanovování správních pokut pro účely nařízení 2016/679 vydané EDPB. Pokud si zaměstnavatelé nejsou jisti, jaký právní důvod pro zpracování fotografií zaměstnanců použít, doporučujeme se obrátit na právníka nebo přímo na Úřad.