Podstawa prawna – czy potrzebna jest zgoda
Możliwość umieszczenia wizerunku na identyfikatorze i ewentualna podstawa prawna takiego działania budzą pewne kontrowersje. Urząd Ochrony Danych Osobowych wypowiedział się w tej sprawie bardzo jednoznacznie w poradniku pt. „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”. Opracowanie to pochodzi jednak z października 2018 r. (zgodnie z zapowiedziami planowana jest jego aktualizacja).
W swoim stanowisku Urząd Ochrony Danych Osobowych stwierdza: „Ze względu na to, że wizerunku pracownika nie ma wśród danych wskazanych w Kodeksie pracy, aby pracodawca mógł je pozyskać i umieścić np. na identyfikatorze, musi legitymować się zgodą pracownika. Należy jednak zaznaczyć, że zgoda musi być udzielona dobrowolnie, a zatem pozyskiwanie przez pracodawcę zgody pracownika będzie możliwe, jeżeli pracownik będzie miał możliwość odmowy jej udzielenia i nie spotkają go z tego powodu żadne negatywne konsekwencje” (s. 24).
Innymi słowy Urząd Ochrony Danych Osobowych:
- dopuszcza możliwość umieszczenia wizerunku pracownika na identyfikatorze, ale
- właściwie wyłącznie za uprzednią zgodą tego pracownika (chyba że obowiązek umieszczenia zdjęcia pracownika na identyfikatorze wynika wprost z przepisów, np. z ustawy o ochronie osób i mienia).
Warto jednak zauważyć, że zgoda w relacji pracodawca – pracownik jest niewdzięczną podstawą prawną przetwarzania danych, ponieważ jej dobrowolność (z uwagi na stosunek podległości pracowniczej) bywa kwestionowana z zasady, a jest przecież warunkiem koniecznym. Dodatkowo zgoda charakteryzuje się możliwością jej swobodnego odwołania w każdym momencie, co bywa kłopotliwe zwłaszcza wtedy, gdy do osiągnięcia oczekiwanego skutku konieczne jest zastosowanie określonego rozwiązania wobec całej zainteresowanej populacji.
Trudno wyobrazić sobie wprowadzenie szczelnego i skutecznego systemu kontroli dostępu opartego na identyfikatorach pracowniczych z wizerunkiem pracownika w sytuacji, gdy tylko część załogi wyrazi na to zgodę. Takie rozwiązanie stosowane wybiórczo nie spełni swojej funkcji, nie uszczelni dostępu do organizacji ani nie pozwoli na kompleksową weryfikację tożsamości osób wchodzących na teren organizacji. Innymi słowy: zniweczy cel, któremu taki system kontroli dostępu ma służyć.
W związku z tym wydaje się, że pracodawcy, którzy chcą umieścić na identyfikatorach wizerunek swoich pracowników, mogą powołać się na swój prawnie uzasadniony interes (oczywiście po przeprowadzeniu szczegółowego testu równowagi i uzyskaniu pomyślnego wyniku). Interes ten może polegać na przykład na konieczności zapewnienia bezpieczeństwa osób i mienia wewnątrz organizacji poprzez rygorystyczną kontrolę wejść i ograniczenie dostępu osób nieupoważnionych.
Należy dodać, że w poradniku dotyczącym zatrudnienia Urząd Ochrony Danych Osobowych wyraźnie dopuszcza, by wizerunek pracowników (nienależący do katalogu danych wymienionych w Kodeksie pracy) umieszczać bez ich zgody, na podstawie prawnie uzasadnionego interesu pracodawcy, w firmowym intranecie. Urząd Ochrony Danych Osobowych argumentuje, że sytuacja ta jest szczególna przez fakt, że dostęp do tego wewnętrznego systemu ma ściśle określony krąg osób, oraz ze względu na cel, jakim jest usprawnienie procesu zarządzania i wewnętrznej komunikacji w firmie. Tymczasem stosowanie identyfikatorów firmowych (w ich klasycznej formie, wewnątrz organizacji, a nie np. w postaci legitymacji służbowych) też ma charakter czysto wewnętrzny, a cele stosowania wydają się bardziej doniosłe niż usprawnienie komunikacji, bo w praktyce najczęściej dotyczą bezpieczeństwa i kontroli dostępu. Skutki wybiórczego stosowania identyfikatorów ze zdjęciem również należy ocenić jako zdecydowanie bardziej dotkliwe niż skutki ewentualnego wybiórczego umieszczenia zdjęć członków załogi w firmowym intranecie.
Warto także zwrócić uwagę, że zgodnie z art. 104 § 1 Kodeksu pracy pracodawca ustala w regulaminie pracy prawa i obowiązki stron stosunku pracy w zakresie organizacji i porządku pracy. Regulamin ten ustala w szczególności organizację pracy, warunki przebywania na terenie zakładu pracy w czasie pracy i po jej zakończeniu, a także przyjęty u danego pracodawcy sposób potwierdzania przez pracowników przybycia i obecności w pracy. To oznacza, że pracodawca może w regulaminie pracy (który przecież zgodnie z art. 9 § 1 Kodeksu pracy jest źródłem prawa pracy) wewnętrznie regulować kwestie porządkowe i organizacyjne, w tym szczególne warunki dostępu pracowników do miejsca pracy. W takiej sytuacji – w razie wprowadzenia w regulaminie pracy obowiązku stosowania identyfikatorów ze zdjęciem i przeprowadzenia testu równowagi (jak chociażby w przypadku stosowania monitoringu wizyjnego) – pozyskiwanie odrębnej zgody pracownika wydaje się zbędne. Niestety kwestia ta nie została wyraźnie omówiona w dotychczasowym wydaniu poradnika Urzędu Ochrony Danych Osobowych.
W tym miejscu jeszcze raz podkreślamy, że zakres stosowania identyfikatorów pracowniczych jest nieznaczny, co do zasady ma charakter wewnętrzny i mocno ograniczony oraz że nie wiąże się z publikacją wizerunku pracownika ani z rozpowszechnianiem tego wizerunku na zewnątrz organizacji (co faktycznie wymagałoby odrębnej zgody prawnoautorskiej). Z tych wszystkich względów zasadny wydaje się postulat dopuszczenia przetwarzania wizerunku pracowników w ramach identyfikatorów pracowniczych na podstawie prawnie uzasadnionego interesu administratora, jeśli jest to podyktowane okolicznościami. Mamy nadzieję, że dotychczasowe stanowisko Urzędu Ochrony Danych Osobowych w tym zakresie zostanie zrewidowane w ramach zapowiadanej aktualizacji poradnika dotyczącego zatrudnienia.
Przepisy odrębne – kiedy umieszczenie zdjęcia jest konieczne
Nie można zapominać również o sytuacjach szczególnych, gdy obowiązek umieszczenia zdjęcia na identyfikatorze będzie wynikać wprost z powszechnie obowiązujących przepisów, wobec czego wymóg pozyskania zgody czy ustalenia prawnie uzasadnionego interesu administratora zostanie zniesiony.
- Zgodnie z 61 ustawy o Policji funkcjonariusze Policji są obowiązani przy wykonywaniu obowiązków służbowych posiadać legitymację służbową okazywaną na żądanie osoby, wobec której podejmuje się czynności służbowe, w sposób umożliwiający identyfikację takiego funkcjonariusza. Minister Spraw Wewnętrznych i Administracji w rozporządzeniu w sprawie legitymacji służbowych policjantów określił wprost, że na takiej legitymacji jest umieszczany wizerunek twarzy policjanta. Zatem przetwarzanie wizerunku (zdjęcia) funkcjonariusza na legitymacji służbowej, stanowiącej rodzaj identyfikatora służbowego, wynika bezpośrednio z obowiązku prawnego określonego w ustawie o Policji oraz w przepisach wykonawczych. Legitymacja służbowa jest wymagana do identyfikacji funkcjonariusza w trakcie pełnienia obowiązków, więc przetwarzanie danych w postaci jego wizerunku stanowi obowiązek prawny ciążący na administratorze danych (art. 6 ust. 1 lit. c RODO).
Kiedy ostatnio
robiłeś analizę ryzyka?Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.ZAMÓW OFERTĘ - Zgodnie z art. 20 ust. 3 ustawy o ochronie osób i mienia legitymacja pracownika ochrony powinna zawierać jego aktualne zdjęcie. W tej sytuacji, podobnie jak w przypadku policjantów, umieszczenie zdjęcia na identyfikatorze nie jest decyzją własną pracodawcy ani jego potrzebą uzasadnioną chęcią zapewnienia bezpieczeństwa zakładu pracy, lecz właśnie obowiązkiem prawnym wynikającym wprost z ustawy. Uznajemy, że podstawą prawną przetwarzania jest tu również art. 6 ust. 1 lit. c RODO (obowiązek prawny), a nie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) czy tym bardziej art. 6 ust. 1 lit. a RODO (zgoda).
Wizerunek to nie wszystko – co jeszcze można umieścić na identyfikatorze
Na marginesie naszych rozważań dotyczących wizerunku warto wspomnieć także o innych elementach standardowego identyfikatora pracowniczego. Są to:
- imię i nazwisko – podstawowe dane identyfikacyjne, które pozwalają rozpoznać pracownika w codziennej pracy,
- stanowisko lub rola w firmie – informacje ułatwiające orientację w strukturze organizacji, np. „kierownik działu sprzedaży”,
- numer identyfikacyjny pracownika – który może być używany w systemach kontroli dostępu, np. numer służbowy.
W przypadku tego rodzaju danych umieszczanych na standardowych identyfikatorach (nieregulowanych przepisami odrębnymi) również opowiadamy się za możliwością ich przetwarzania na podstawie prawnie uzasadnionego interesu administratora.
Podsumowując dotychczasowe rozważania, przypominamy, że dane umieszczone na identyfikatorze – jako element danych osobowych pracownika – powinny być przetwarzane zawsze w zgodzie z RODO, w tym z zastosowaniem zasady minimalizacji (przetwarzane jest tylko to, co faktycznie niezbędne), w jasno określonym celu (np. zapewnienie bezpieczeństwa, kontrola i ograniczenie dostępu) oraz z określeniem odpowiedniej podstawy prawnej.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Na jakiej podstawie prawnej pracodawca może umieścić wizerunek pracownika na identyfikatorze służbowym?