iSecure logo
  • pl
  • en
    • Blog

    Nieudokumentowane pozyskiwanie zgody na przetwarzanie wizerunku pracownika — dlaczego to ryzyko i jak to robić poprawnie?

    Olga Skotnicka
    Kategorie

    Wizerunek pracowników to jeden z najdelikatniejszych obszarów ochrony danych osobowych w każdej organizacji. Choć intuicyjnie można myśleć: „zgoda została wyrażona ustnie przy podpisaniu umowy” lub „to tylko event firmowy i wewnętrzny intranet firmy”, albo „pracownik nie jest roszczeniowy, nie będzie problemu’’, rzeczywistość jest znacznie bardziej złożona. Brak formalnego, udokumentowanego procesu pozyskiwania zgody na przetwarzanie wizerunku może skutkować naruszeniami prawa, wysokimi karami i utratą zaufania pracowników.

    Podczas przeprowadzanego audytu w organizacji usłyszałam, że wcześniej nikt nie zgłaszał problemów związanych z publikowaniem wizerunku osób w mediach społecznościowych spółki.

    Czy to faktycznie chroni spółkę? Oczywiście nie. Wypracowaliśmy i opracowaliśmy w tej spółce zestaw zgód, które nie utrudniają ani nie ograniczają codziennych działań, a jednocześnie umożliwiają korzystanie z wizerunku zgodnie z obowiązującymi przepisami. Co więcej, są one dołączone do pakietu dokumentów pracowniczych.

    Zgodnie z przepisami wizerunek pracownika stanowi dane osobowe i podlega ochronie. Zgoda to jedna z podstaw prawnych do przetwarzania danych osobowych, ale nie jedyna.

    W praktyce w kontekście zatrudnienia często stosuje się także inne podstawy (np. uzasadniony interes pracodawcy w zakresie wykonywania obowiązków służbowych), jednak wykorzystanie wizerunku w materiałach marketingowych, PR czy publikacjach wymaga wyraźnej i możliwej do wycofania zgody. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.

    Ważna jest również łatwość jej wycofania. 

    Jakie są ryzyka z nieudokumentowanym pozyskiwaniem zgody?

    Największe to oczywiście kontrola ze strony PUODO – pracodawca nie ma potwierdzenia, że zgoda została uzyskana i dobrze zrozumiana. A co za tym idzie, narażenie na sankcje: kary finansowe, w tym za przetwarzanie bez podstawy prawnej lub bez właściwej zgody.

    Ważnym aspektem jest oczywiście naruszenie zaufania pracowników: pracownicy mogą czuć się niekomfortowo, jeśli ich wizerunek jest wykorzystywany bez jasnej i łatwo wycofywanej zgody.

    Dokumentacja zgód na przetwarzanie wizerunku pracowników to nie tylko formalność, to kluczowy element zgodności z RODO i budowania zaufania wewnątrz organizacji.

    Brak odpowiedniej dokumentacji może prowadzić do konsekwencji prawnych i reputacyjnych. Dlatego warto zainwestować w jasne procedury, przejrzystą politykę przetwarzania wizerunku oraz systemy umożliwiające łatwe zarządzanie zgodami i ich wycofywaniem.

     

    Już 18 listopada br. planujemy zorganizować bezpłatny webinar pt. „Czy HR potrzebuje IOD-a bardziej niż myśli? Praktyczne przykłady wsparcia”. Jeśli chcesz zagwarantować sobie udział w tym wydarzeniu, zarejestruj się już dzisiaj: https://www.isecure.pl/webinar/czy-hr-potrzebuje-iod-a-bardziej-niz-mysli-praktyczne-przyklady-wsparcia/

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Magdalena Jacolik

    Raportować incydenty – czyli łatwo powiedzieć a coraz trudniej zapanować – analiza projektu ustawy o systemach sztucznej inteligencji i nowego podejścia PUODO

    Projekt ustawy o systemach sztucznej inteligencji zakłada wprowadzenie kompleksowych regulacji dotyczących bezpieczeństwa AI. Jednym z kluczowych elementów ma być nowy system zgłaszania poważnych incydentów. Ze względu na przewidziane wysokie kary za naruszenia, warto już teraz przeanalizować proponowane wymogi i rozpocząć przygotowania do ich wdrożenia. Ograniczony zakres podmiotowy Projektowane przepisy nie obejmą wszystkich podmiotów wykorzystujących AI. […]

    Czytaj więcej
    Kinga Bieniek-Zawadzka

    Rekrutacje ukryte a zgodność z RODO

    Wielu pracodawców, decydując się na zaimplementowanie procesu rekrutacji zgodnie z przepisami o ochronie danych osobowych, zastanawia się, czy właściwe jest ukrycie swojej tożsamości podczas pozyskiwania kandydatów do pracy. Takie działanie podyktowane jest często wewnętrznymi potrzebami pracodawcy. Dlatego też pracodawcy poddają ocenie dopuszczenie możliwości zorganizowania procesu rekrutacyjnego bez ujawniania szczegółowych informacji o konkretnym podmiocie. W ogłoszeniach […]

    Czytaj więcej
    Maciej Łukaszewicz

    Zawarcie i negocjacja umowy powierzenia – co i jak administrator może weryfikować u procesora?

    WSTĘP W dzisiejszym artykule zamierzamy przeanalizować praktyczne problemy występujące podczas negocjowania umów powierzenia pomiędzy procesorem a administratorem danych. W wielu umowach administrator wprost zobowiązuje procesora do udostępnienia mu wszelkich polityk bezpieczeństwa i ochrony danych osobowych, a także innej dokumentacji potwierdzającej zgodność procesora z przepisami RODO. Administrator przede wszystkim chce zabezpieczyć się pod kątem wyboru „odpowiedniego […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki