04_18_GDPR krok za krokom - 5. časť
GDPR krok za krokom - 5. časť
Fotografie a GDPR Termín 25. máj 2018 máme už za sebou a s ním aj povinnosť spracúvať osobné údaje podľa nových pravidiel. I keď nariadenie Európskeho parlamentu a Rady (EÚ) 679/2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a náš zákon 18/2018 Z.z. o ochrane osobných údajov platia, až 40 % firiem si myslí, že sa ich povinnosti pri spracúvaní osobných údajov netýkajú. Zvyšných 60 % firiem, ktoré sa na GDPR pripravili alebo ešte stále na ňom pracujú, hľadá odpovede na otázky, ktoré nie sú na prvý pohľad jasné. Prinášame odpovede na niektoré z nich.
Fotky, fotografovanie a zverejňovanie fotografií Téma fotografií je azda najčastejšou otázkou, s ktorou sa stretávam počas diskusií k GDPR. Zvykli sme si na fotografie v mobiloch, na fotky na internete, webových stránkach firiem, na Facebooku, na Instagrame. Často ani nerozlišujeme, či ide o fotografie z domáceho alebo pracovného prostredia, a či je účel súkromný alebo pracovný. Niektoré firmy fotografujú zamestnancov pri príchode do práce v rámci evidencie dochádzky. Netreba zabúdať, že fotografia osoby, predovšetkým tváre, je osobný údaj a jej spracúvanie sa riadi pravidlami ochrany osobných údajov. (Najmä ak ide o fotky, ktoré sú ostré, dostatočne veľké na to, aby sme osobu na fotografii vedeli spoznať – identifikovať.) Ak fotíte zamestnancov v rámci dochádzky, dbajte na to, aby ste mali dostatočne zabezpečený dochádzkový systém a aby ste fotografie neukladali zbytočne dlho. Primeraná lehota v rámci miezd je 1- 2 mesiace. Použitie fotiek namiesto bežnej evidencie alebo kartičiek s čipom budete musieť vedieť obhájiť ako váš oprávnený záujem, napríklad tak, že v minulosti dohádzalo k porušeniu evidencie a zamestnanci evidovali aj dochádzku neprítomným kolegom. A prípady viete aj zdokumentovať. Ak fotíte zamestnancov alebo zákazníkov pre účely propagácie a PR, buďte obozretní a majte na pamäti nasledovné pravidlá.
Marketing a zverejňovanie fotografií Ak máte firemný web alebo fanúšikovskú stránku, prípadne kanál You Tube, či Instragram a zverejňujete na nich fotografie, či krátke videá z firemných podujatí, ide o spracovanie na konkrétny účel (marketing) a z pohľadu GDPR musíte disponovať právnym základom, na základe ktorého údaje (fotografie) zverejňujete. Tými môže byť súhlas dotknutej osoby alebo oprávnený záujem prevádzkovateľa. Práve súhlas dotknutej osoby môžem odporučiť ako vhodný právny základ pri fotení a zverejňovaní fotografií. Ako postupovať? Odporúčam nasledovné kroky: • Ak plánujete na firemnej akcii zhotoviť fotografie, informujte o tom zamestnancov alebo pozvaných hostí (dotknuté osoby) na pozvánke, prípadne oznamom pri vstupe. • Poučte fotografa, aby rešpektoval, ak niekto namieta a nechce sa fotiť, aby takúto osobu z fotenia vynechal. • Ak robíte spoločné fotky, dotknuté osoby sa nechajú odfotiť, pozerajú sa do kamery, má sa za to, že privolili a na fotenie máte súhlas. To však ešte nie je súhlas na zverejnenie fotografie.
General Data Protection Regulation
46
Ročník_2018_04
