Wykorzystywanie zdjęcia pracownika w intranecie należy doprecyzować w przepisach wewnętrznych

@RY1@i02/2016/063/i02.2016.063.18300150c.802.jpg@RY2@

Kwestie dotyczące zakresu danych osobowych pracowników, jaki może być pozyskiwany przez pracodawcę, są w szczególności przedmiotem regulacji przepisów ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. z 2014 r. poz. 1502 ze zm.). Artykuł 22¹ tej ustawy powinien być zatem traktowany jako podstawa przetwarzania danych o pracowniku, w myśl zasady, iż w sytuacji, gdy określone zagadnienia dotyczące przetwarzania danych osobowych unormowane zostały w przepisach odrębnych aktów prawnych - innych niż ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135 ze zm.) - należy się do nich odwołać.

Wąski katalog danych z art. 22¹ wydaje się niedostosowany do możliwości wykorzystywania nowoczesnych technologii w stosunkach pracy. W dobie postępu nauk socjotechnicznych i technicznych powstają praktyczne trudności związane z realizacją ochrony prywatności pracownika. Rozwój cywilizacyjny wymaga zatem, aby na wiele instytucji prawa pracy, w tym na prawo do prywatności pracownika, spoglądać inaczej, uwzględniając nowe warunki, w których musi być ono respektowane (M. Gersdorf, "Kodeks pracy. Komentarz", wyd. III).

Kwestią dyskusyjną pozostaje także zastosowanie tych technik za zgodą pracownika oraz pytanie o ich adekwatność do celu zbierania i przetwarzania danych osobowych. Przyjmując jednak, że racjonalny ustawodawca wskazał w kodeksie pracy katalog danych, jaki w związku z zatrudnieniem może być pozyskiwany i dalej przetwarzany, nie wydaje się, aby w aktualnym stanie prawnym można było uznać za dopuszczalne jego rozszerzanie, nawet poprzez uzyskanie zgody od pracownika, stosownie do art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Co więcej, Naczelny Sąd Administracyjny (NSA) w wyroku z 1 grudnia 2009 r. (sygn. akt I OSK 249/09) stwierdził, że uznanie wyrażenia przez pracownika zgody na przetwarzanie jego danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, za okoliczność legalizującą pobranie od pracownika innych danych niż wskazane w art. 22¹ kodeksu pracy stanowiłoby naruszenie tego przepisu. NSA powołał się przy tym na to, że brak równowagi w relacji pracodawca - pracownik stawia pod znakiem zapytania dobrowolność wyrażenia zgody na pobieranie i przetwarzanie danych osobowych. Orzeczenie to odnosiło się wprawdzie do przetwarzania przez pracodawcę danych biometrycznych na podstawie wyrażonej przez pracownika zgody, jednak może ono być w tym przypadku cenną wskazówką interpretacyjną.

Szczególnym przypadkiem dotyczącym pozyskiwania i wykorzystywania przez pracodawcę zdjęć osób jest rekrutacja. Przyjmuje się jednak, że jeśli ktoś sam, z własnej woli zamieszcza w CV dodatkowe informacje, w tym swoje zdjęcie, to pracodawca ma prawo je przetwarzać, o ile na wykorzystywanie tych dodatkowych danych uzyskał zgodę osoby, której dane dotyczą. Pracodawca nie narusza więc kodeksu pracy, bo nie żąda innych danych osobowych niż wymienione w jego przepisach.

Także kwestia umieszczania zdjęć pracowników w intranecie jest sytuacją szczególną, tym bardziej że dostęp do tego wewnętrznego systemu ma ściśle ograniczony - liczbą zatrudnionych - krąg osób, którzy widzą się na korytarzach, zebraniach czy w bezpośrednich służbowych kontaktach, a cel jest ściśle związany z potrzebami usprawnienia procesu zarządzania i komunikacji wewnętrznej w firmie. Należy się więc zastanowić, czy wykorzystywanie zdjęcia pracownika w tym właśnie celu można uznać za usprawiedliwiony cel pracodawcy. Z pewnością jednak kwestię tę należałoby doprecyzować w wewnętrznych przepisach jednostki, jak regulamin, statut czy układ zbiorowy pracy. Jednak przyjmując takie rozwiązanie, można się narazić na zarzut niezgodności z art. 9 kodeksu pracy. Zgodnie z jego brzmieniem przepisy wewnętrzne nie mogą być dla pracowników mniej korzystne niż regulacje kodeksu pracy.

Należy wziąć pod uwagę, że w niektórych sytuacjach może istnieć wręcz konieczność wizualnej identyfikacji pracownika wynikającej np. z zakresu obowiązków, charakteru wykonywanej pracy czy potrzeb pracodawcy związanych z konkretnym stanowiskiem pracy. Należy jednak pamiętać, że ustalając takie wewnętrzne zasady umieszczania zdjęć w intranecie, pracodawca musi wziąć również pod uwagę zasadę adekwatności wyrażoną w art. 26 ustawy o ochronie danych osobowych. Zgodnie z jej brzmieniem przetwarzane dane swym rodzajem i treścią nie powinny wykraczać poza potrzeby wynikające z celu przetwarzania. O ile więc umieszczenie zdjęć w intranecie służy jedynie polepszeniu i usprawnieniu zarządzania firmą, a dostępu do niego nie mają osoby z zewnątrz, to teoretycznie można przyjąć to za dopuszczalne.

Z odmienną sytuacją mamy natomiast do czynienia wtedy, gdy pracodawca zamierza wykorzystywać zdjęcia w innym celu, np. udostępnić je na stronie internetowej firmy lub zamieścić je w ulotkach. Wówczas zgoda pracowników na rozpowszechnianie ich wizerunku byłaby konieczna. Wizerunek człowieka podlega bowiem także ochronie na gruncie ustawy o prawie autorskim i prawach pokrewnych [z 4 lutego 1994 r., t.j. Dz.U. z 2006 r. nr 90, poz. 631 ze zm. - red.]. Zgodnie z jej przepisami rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej, ale w braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie. Zezwolenia nie wymaga także rozpowszechnianie wizerunku osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych, oraz osoby stanowiącej jedynie szczegół całości, takiej jak zgromadzenie, krajobraz, publiczna impreza.

Dodatkowo należy także wskazać, że wizerunek człowieka, jako jego dobro osobiste, chroniony jest też przepisami ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz.U. z 2016 r. poz. 380), w szczególności jej art. 23 i 24, w kwestii ewentualnego naruszenia dóbr osobistych orzekają zaś sądy cywilne w trybie wynikającym z przepisów ustawy z 17 listopada 1964 r. - Kodeks postępowania cywilnego (t.j. Dz.U. z 2014 r. poz. 101 ze zm.).

Należy zatem stwierdzić, że pracodawca dysponuje takimi danymi osobowymi pracownika, których zakres wynika z art. 22¹ kodeksu pracy i aktów wykonawczych do niego, ale nie oznacza to, że może je dowolnie udostępniać osobom nieupoważnionym, w tym innym zatrudnionym. Zatem pracodawca, przed zamieszczeniem określonego zakresu danych na temat pracownika w intranecie, musi się zastanowić, czy istnieje podstawa legalizująca jego działanie.

Bez względu na powyższe uprzejmie informuję, że każda osoba, która uzna, że doszło do naruszenia ochrony jej danych osobowych, może wnieść skargę do generalnego inspektora ochrony danych osobowych, który po przeprowadzeniu postępowania administracyjnego może wydać decyzję zawierającą wiążące stanowisko w konkretnej sprawie.