GDPR a změny v oblasti personální politiky

23. 2. 2018. (redaktor: František Doupal, zdroj: Taylor Wessing)
Jednou z důležitých povinností vyplývajících z GDPR je jmenování pověřence pro ochranu osobních údajů. Nejasnosti přitom stále panují ohledně pořizování fotografií zaměstnanců za účelem zveřejnění na firemních identifikačních kartách i k zacházení s osobními údaji v marketingu, HR nebo firemní propagaci.

„Pro státní orgány, veřejné instituce a některé soukromé firmy po vstupu GDPR v účinnost vznikne povinnost jmenovat pověřence pro ochranu osobních údajů. Je zde tedy momentálně velká poptávka po odbornících, kteří mají odborné znalosti v oblasti práva, ale i z praxe v oblasti ochrany osobních údajů. Díky velké poptávce je i velmi těžké takové odborníky v takovém množství zabezpečit. Jinak nevidím v oblasti personalistiky výslovně žádné zásadní změny. Obecně GDPR klade mimo jiné důraz na to, aby nebyly shromažďovány a zpracovány osobní údaje nad nezbytný rozsah, aby nebyly osobní údaje uchovávány po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, a aby byly řádně zabezpečeny. Nejde ale o nové povinnosti, tyto zásady platily pro zpracování osobních údajů již od roku 2000 podle zákona o ochraně osobních údajů,” uvedla Karin Pomaizlová, partnerka Taylor Wessing Praha.

Pořizování fotografií zaměstnanců na firemních identifikační karty

Stejně jako je tomu doposud stále podle občanského práva platí, že „zachytit jakýmkoliv způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením.“ Podle zákona na ochranu osobních údajů i podle GDPR je možné, vedle zpracování osobních údajů se souhlasem jednotlivce (např. zaměstnance), zpracovávat osobní údaje i za účelem ochrany oprávněných zájmů správce osobních údajů (zde zaměstnavatele). Pomaizlová dodala: „V praxi není možné pořídit fotografii zaměstnance na identifikační kartu, aniž by s tím vyslovil souhlas, tj. dostavil se k fotografovi nebo přinesl vlastní fotografii. Ale zaměstnavatel může po zaměstnanci požadovat za účelem bezpečnosti na pracovišti, aby měl u sebe vždy viditelně kartu se svojí podobenkou. A tyto údaje pro účely evidence osob, které mají povolený vstup do budovy nebo na určité pracoviště, evidovat a dále zpracovávat.” To znamená, že zpracovávat fotografii pak může zaměstnavatel už bez souhlasu subjektu údajů, pokud se bude držet původního účelu, tj. zajištění bezpečnosti na pracovišti.

Práce s osobními údaji zaměstnanců v marketingu, HR nebo propagaci firmy

Představme si například situaci, kdy zaměstnavatel zveřejní fotografii zaměstnance nebo video z firemního školení nebo večírku, ve kterém je pracovník zachycen. Je to možné? Pomaizlová potvrdila: „Budou platit stejná pravidla jako doposud, pořizovat fotografie a jejich použití lze jen se souhlasem zaměstnanců.” Lze si představit, že během firemní akce (školení, teambuilding, vánoční večírek, recepce pro klienty zaměstnavatele atd.) jsou pořizovány fotografie účastníků. Opět i zde platí obecné pravidlo občanského práva, že „zachytit jakýmkoliv způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost”, je možné jen s jeho svolením.  Pomaizlová upozornila: „I když někdo zapózuje fotografovi, to ještě neznamená, že dal souhlas k užití dle představ organizátora akce (zaměstnavatele). Protože nejde o zpracování osobních údajů, kdy by právním titulem ke zpracování bylo plnění smlouvy, jejíž smluvní stranou by byla fotografovaná osoba, nebo splnění právní povinnosti správce nebo ochrana životně důležitých zájmů oné osoby nebo jiné fyzické osoby. A nejde ani o ochranu oprávněných zájmů správce či třetí strany, kdy tyto mají přednost před zájmy a základními právy a svobodami subjektu údajů vyžadující ochranu osobních údajů. Pak bude třeba si vyžádat souhlas osob na fotografii. A to včetně zaměstnanců, aby jejich fotografie z firemní akce mohl zaměstnavatel použít pro marketingové účely při propagaci firmy nebo pro jiné HR účely, interně např. pro ročenku nebo intranetovou stránku.” To však neznamená vždy nutně získání písemného souhlasu. Záleží na okolnostech.

Štítky: 
GDPR
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Účtování aneb co přinesly tři roky s GDPR pro e-mailový marketing?

28. 5. 2021. (redaktor: František Doupal, zdroj: Webkomplet)
Den, po kterém již nebude nic jako dřív – tak byl mnohdy z pohledu e-mailingu vnímán 25. květen 2018. Na scéně se objevilo GDPR, jež zásadně promluvilo do možností fungování (nejen) tohoto marketingového nástroje. Čtěte více

Co přinesly dva roky s GDPR?

27. 5. 2020. (redaktor: František Doupal, zdroj: dTest)
Obecné nařízení o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR), nabylo účinnosti 25. května 2018. Kolem tohoto data se zdálo, že nastává naprostá právní revoluce a „nezůstane kámen na kameni“. Dva roky účinnosti nařízení však ukázaly klidnější vývoj, i když rozhodně nelze tvrdit, že se nedělo nic zajímavého. Čtěte více

Spotřebitelé volají po důslednější ochraně osobních údajů

6. 12. 2019. (redaktor: František Doupal, zdroj: EY)
Devět 9 z 10 Čechů je velmi opatrných při zveřejňování osobních a finančních údajů na internetu, i když jde o web značky, kterou zná. Skoro třetina z nás (31 %) souhlasí s tvrzením, že nabídka komunikačních služeb je velmi složitá. Mimo televizi sleduje filmy přes jiná zařízení 62 % Čechů, v zahraničí je to třetina domácností. Čtěte více

GDPR: Zažíváme klid před bouří?

22. 7. 2019. (redaktor: František Doupal, zdroj: Zyxel)
Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním emailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Čtěte více