Wykorzystywanie wizerunku pracownika przez pracodawcę

Każdy przedsiębiorca, który zatrudnia pracowników przetwarza ich dane osobowe, w szerszym lub węższym zakresie. Katalog danych osobowych, jakie pracodawca może swobodnie przetwarzać bez innej podstawy prawnej zawiera art. 221 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy. W zakres wskazanego katalogu wchodzą: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia, numer PESEL, a także – jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy – imiona i nazwiska oraz daty urodzenia dzieci. Ponadto pracodawca może żądać podania innych danych osobowych, jeżeli obowiązek ich podania wynika z odrębnych przepisów. Kodeks pracy nie wymienia wizerunku pracownika, dlatego podstawy do jego pozyskiwania i przetwarzania przez pracodawcę należy szukać w innych przepisach.

Wystarczy zgoda?

Zgodnie z art. 23 ust. 1 pkt 1, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę.  Czy przepis ten znajduje zastosowanie także w odniesieniu do wizerunku pracownika?

W wielu publikacjach i artykułach znajdziemy informację, że do wykorzystywania „pozakodeksowych” danych pracownika wystarczy jego zgoda. Nawet na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych widnieją dwie sprzeczne informacje w sekcji „Odpowiedzi na pytania”:

Czy pracodawca może wykorzystywać zdjęcie pracownika bez jego zgody, np. w celu zamieszczenia go na stronie internetowej firmy?

Nie, gdyż – co do zasady – dla legalnego wykorzystania przez pracodawcę wizerunku pracownika potrzebna jest jego zgoda 

http://www.giodo.gov.pl/348/id_art/4859/j/pl/

Czy pracodawca ma prawo za pomocą specjalnego urządzenia skanować linie papilarne pracowników w celu rejestracji godzin ich przyjścia i wyjścia z zakładu pracy?

Nie ma do tego prawa, nawet za zgodą każdego pracownika.

http://www.giodo.gov.pl/348/id_art/3358/j/pl/

Należy jednak zwrócić uwagę na powoływany w drugiej odpowiedzi wyrok Naczelnego Sądu Administracyjnego z dnia 1 grudnia 2009 r. (sygn. akt I OSK 249/09), który wskazuje na niedopuszczalność uznania zgody pracownika za podstawę przetwarzania jego danych osobowych.

Uznanie faktu wyrażenia przez pracownika zgody na przetwarzanie jego danych (…) za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 221 Kodeksu pracy stanowiłoby naruszenie tego przepisu Kodeksu pracy.

Z tego względu ustawodawca ograniczył przepisem art. 221 Kodeksu pracy katalog danych, których pracodawca może żądać od pracownika.

W przytaczanym powyżej wyroku, NSA uznał zasadność skargi kasacyjnej wniesionej przez Generalnego Inspektora Ochrony Danych Osobowych. GIODO wskazał, że działanie polegające na zbieraniu przez pracodawców danych pracowników, które wykraczają poza zakres wskazany w Kodeksie pracy, stanowi ingerencję w ich prywatność, a tym samym sprzeciwia się normie konstytucyjnej.

Wnoszący skargę podkreślił także, że konsekwencją uznania zgody za przesłankę pozwalającą na zbieranie danych pracowników jest konieczność dokonania oceny, czy została ona wyrażona w sposób dobrowolny. W relacji zachodzącej między pracownikiem a pracodawcą występują okoliczności wpływające na brak równowagi, które sprzyjają wymuszeniu zgody, a tym samym pozbawiają ją przymiotu dobrowolności.

Zatem wspomniany brak równowagi będzie wyłączał możliwość stosowania zgody jako podstawy do przetwarzania danych osobowych, w tym wizerunku pracownika.

W praktyce możemy oczywiście posiłkować się pierwszą przytoczoną w niniejszym artykule opinią GIODO oraz zapewnić by ewentualny brak wyrażenia zgody przez pracownika nie wiązał się dla niego z żadnymi negatywnymi konsekwencjami. Niektórzy posiłkują się również art. 81 Ustawy o prawie autorskim i prawach pokrewnych, który w ust.1 stanowi: Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. Z uwagi jednak na kierunek orzeczniczy powyższe rozwiązania nie dają pełnej gwarancji działania całkowicie zgodnego z prawem.

Internet a intranet

Inaczej jednak sprawa wygląda w przypadku intranetu, czyli wewnętrznej sieci komputerowej ograniczającej się do komputerów np. w konkretnym przedsiębiorstwie. Ochrona danych osobowych w przypadku sieci wewnętrznej nie musi być aż tak wysoka jak w przypadku publikowania w sieci publicznej. W związku z tym, jeżeli wykorzystanie wizerunku pracownika w intranecie ma na celu usprawnienie komunikacji w stosunkach służbowych, przetwarzanie można uznać za dopuszczalne ze względu na uzasadniony cel administratora danych. Podstawę prawną przetwarzania będzie stanowić więc art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych:

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Inne przypadki

Wskazana niedopuszczalność przyjmowania za podstawę przetwarzania danych osobowych pracownika jego zgody nie oznacza, że nie istnieją inne przesłanki, których wystąpienie będzie upoważniać pracodawcę do wykorzystania wizerunku pracownika. Przykładem takiej sytuacji może być umieszczenie zdjęcia pracownika na identyfikatorze firmowym. Obowiązek noszenia takiego identyfikatora może wynikać np. z regulaminu pracy wydanego na podstawie art. 104 § 1 Kodeksu pracy. Regulamin taki ustala organizację i porządek w procesie pracy oraz związane z tym prawa i obowiązki pracodawcy i pracowników, a noszenie identyfikatorów może służyć zapewnieniu bezpieczeństwa, ochronie dostępu do pomieszczeń firmowych.

Przetwarzanie takie będzie uzasadnione ze względu na jego niezbędność dla wypełnienia prawnie usprawiedliwionego celu administratora danych osobowych.

Za nienaruszający ustawy o ochronie danych osobowych obowiązek noszenia przez pracowników identyfikatorów uznał także GIODO w odpowiedzi na zadane pytanie (zob.: http://www.giodo.gov.pl/348/id_art/981/j/pl/)

Także w innych przypadkach, gdy wizerunek pracownika jest ściśle powiązany z pełnioną przez niego funkcją czy wykonywanym zawodem, podstawą przetwarzania danych będzie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przykładem takiej sytuacji może być noszenie identyfikatora ze względów bezpieczeństwa przez pracownika służby ochrony.

Bezprawne wykorzystanie

Jeżeli pracodawca wykorzystałby zdjęcie pracownika bez podstawy prawnej, wówczas mógłby narazić się na zarzut bezprawnego przetwarzania jego danych osobowych. Stanowi o tym przepis art. 49 ust. 1 ustawy o ochronie danych osobowych:

Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Ponadto, wizerunek został wymieniony w katalogu otwartym dóbr osobistych człowieka, zawartym w art. 23 Kodeksu cywilnego. Takim też dobrem jest wizerunek pracownika. W następnym artykule uregulowane zostały roszczenia przysługujące osobie, której dobro osobiste zostało naruszone:

Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.

Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.

Podsumowanie

Pracodawcy powinni mieć świadomość, że nie mogą dowolnie przetwarzać danych osobowych swoich pracowników. Podobnie jak w przypadku danych klientów, przedsiębiorcy zawsze muszą mieć jedną z podstaw do przetwarzania danych, wyrażoną w art. 23 lub 27 ustawy o ochronie danych osobowych.

Warto przypomnieć, że na mocy porozumienia między Generalnym Inspektorem Ochrony Danych Osobowych a Państwową Inspekcją Pracy, inspektorzy PIP mogą sprawdzać prawidłowość przetwarzania danych osobowych u każdego przedsiębiorcy przetwarzającego dane pracowników. W przypadku stwierdzenia nieprawidłowości zobowiązani są do zawiadomienia GIODO, co w konsekwencji może zakończyć się karą grzywny dla przedsiębiorcy.

W ostatnich latach regulacje dotyczące danych osobowych przedsiębiorców ulegały znaczącym zmianom. Początkowo do tych danych nie miały zastosowania przepisy ustawy …

Często pytacie nas, czy szkolenie z nowych zasad ochrony danych osobowych jest wymagane prawem? Oddajmy głos Generalnemu Inspektorowi Ochrony Danych …

Nowe rozporządzenie UE (RODO) – wstęp Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w …