W dobie dynamicznie rozwijających się mediów społecznościowych i korzystania przez firmy z nowych kanałów komunikacji pojawiają się nowe problemy prawne, które wymagają analizy prawnej i zaproponowania konkretnych rozwiązań. Zajęcie jednoznacznego stanowiska nie zawsze jest łatwe, a próba ścisłego postępowania wedle litery prawa może przysparzać wiele trudności. Warto jednak, mając świadomość istnienia określonych regulacji, świadomie podejmować decyzje, które w możliwie pełnym zakresie pozwolą na realizację określonych wymogów prawnych i tym samym przyczynią się do minimalizacji ewentualnego ryzyka narażenia się na zarzut naruszenia prawa.

W ostatnich latach firmy coraz chętniej korzystają z możliwości promocji w Internecie, często decydując się na tworzenie profilu firmy na portalach społecznościowych (np. na portalu Facebook). Tego rodzaju profil może służyć do różnych celów najczęściej do promocji danej marki i zamieszczania informacji o ofercie i sprzedawanych produktach. Dopóki informacje te mają charakter anonimowy, nie pojawia się problem związany z przetwarzaniem wizerunku czy danych osobowych. Profil na portalu służy jednak często też innym celom – np. budowaniu wizerunku firmy jako angażującej się w akcje społeczne, czy jako przyjaznej dla pracowników (w celu zachęcenia do wysłania CV). W tym celu firmy chętnie zamieszczają na portalu zdjęcia zawierające wizerunku konkretnych osób (np. pracowników firmy, studentów odbywających praktyki, czy innych osób uczestniczących w różnego rodzaju wydarzeniach). Należy zatem zastanowić się jakiego rodzaju zdjęcia firma może udostępniać i w jaki sposób to robić, aby nie narazić się na potencjalną odpowiedzialność prawną.

Na wstępie wypada zaznaczyć, że sprawa z prawnego punktu widzenia jest dosyć skomplikowana. Po pierwsze należy zauważyć, że trzeba wziąć pod uwagę co najmniej trzy ustawy odnoszące się do tych kwestii, a mianowicie ustawę o ochronie danych osobowych, ustawę o prawie autorskim i prawach pokrewnych oraz kodeks cywilny.

Wizerunek jako dana osobowa

Najbardziej problematyczne wydają się przepisy o ochronie danych osobowych (którą w przyszłości zastąpi ogólne rozporządzenie o ochronie danych). Wizerunek bowiem, co do zasady, będzie stanowił daną osobową, jako że zazwyczaj umożliwia identyfikację konkretnej osoby fizycznej. Najistotniejsze obowiązki ciążące na podmiocie, który takie dane osobowe przetwarza w celu ich publikacji (czyli w zasadzie potencjalnego udostępnienia bliżej nieokreślonemu kręgowi odbiorców) to konieczność wykazania podstawy prawnej przetwarzania danych (art. 23 ust. 1 lub 27 ust. 2 ustawy o ochronie danych osobowych) oraz realizacja obowiązku informacyjnego (art. 24 lub 25 ww. ustawy). W przypadku pracowników danej firmy za niezbędne należałoby uznać pozyskanie uprzedniej zgody na takie działanie. Kodeks pracy i przepisy wykonawcze nie dają w ogóle podstaw do tego, aby pracodawca mógł przetwarzać wizerunek pracownika, a tym bardziej go publikować (np. na stronie internetowej). Stanowisko GIODO jest tutaj jednoznaczne – organ wskazuje, że takie przetwarzanie jest niedopuszczalne (http://www.giodo.gov.pl/348/id_art/4859/j/pl).

Jeszcze bardziej problematyczne jest przetwarzanie danych pracowników w postaci zdjęć z imprez firmowych (eventów zewnętrznych, wewnętrznych imprez integracyjnych, itp.) na których są wizerunki pracowników, a czasem także innych osób. Działanie takie może bowiem być odebrane jako naruszające prawo do prywatności. Najlepszą podstawą prawną do przetwarzania stanowiłaby dobrowolna zgoda każdej osoby, niemniej jednak z technicznego punktu widzenia trudno to sobie wyobrazić. Osoba dokumentująca dane wydarzenie musiałaby się za każdym razem zastanawiać, czy wszystkie osoby, które akurat znalazły się w kadrze wyraziły zgodę na przetwarzanie danych w postaci wizerunku. Poza tym w praktyce bardzo trudna byłaby realizacja uprawnień osoby której dane dotyczą. Wystarczy sobie wyobrazić sytuację w której dana firma dwa lub trzy razy w roku organizuje kilkudniowy wyjazd integracyjny na którym robione jest łącznie kilkaset lub więcej zdjęć. Gdyby kilka osób w firmie zażądało nagle usunięcia ich danych w postaci wizerunku z wewnętrznych zasobów firmy mogłoby być to bardzo trudne do realizacji. Dlatego wydaje się, że przetwarzanie takich danych wewnątrz firmy (wyłącznie przez osoby zajmujące się organizacją eventów, czy działem HR) można próbować uzasadniać prawnie usprawiedliwionym celem (np. oceny tego czy uczestnicy się dobrze bawili, czy zaplanowane atrakcje cieszyły się zainteresowaniem, czy usługodawca właściwie wywiązał się z umowy, itp.). Tam gdzie to możliwe lepszą podstawę prawną stanowiłaby niewątpliwie zgoda.

Zupełnie inaczej sytuacja prezentuje się w momencie w którym zdjęcia miałyby zostać upublicznione – np. na portalu społecznościowym. Należy mieć tutaj na uwadze inny cel przetwarzania danych, a także większe potencjalne ryzyko naruszenia praw osób, których dane dotyczą (prawnie usprawiedliwiony cel może być podstawą przetwarzania wyłącznie gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą). Dlatego w momencie w którym wizerunek pracownika miałby zostać upubliczniony (np. na profilu firmy na portalu Facebook) niezbędne byłoby wcześniejsze pozyskanie zgody takiej osoby. Zgoda powinna mieć charakter konkretny i obejmować z zasady jeden cel przetwarzania – czyli powinna być np. osobno wyrażana na zamieszczenie wizerunku na stronie internetowej pracodawcy wraz ze służbowymi danymi kontaktowymi w celach informacyjnych, a osobno w celu publikacji zdjęć z imprezy firmowej na celach promocyjnych na portalu społecznościowym. Zawsze też należy pamiętać, że wobec osoby, której dane dotyczą powinien być prawidłowo spełniony obowiązek informacyjny.

Natomiast w kontekście ustawy o ochronie danych osobowych warto mieć jeszcze na uwadze, że w przypadku zamieszczenia danych na profilu firmy na portalu społecznościowym ma miejsce sytuacja w której należałoby uznać, że występują dwa podmioty które powinny zostać uznane za administratora danych. Mianowicie podmiot, który zdjęcie umieszcza (niewątpliwie decyduje on o celach i środkach przetwarzania danych) oraz administrator portalu (np. Facebook), któremu dane zostają udostępnione i który od momentu ich zamieszczenia na portalu przetwarza je także we własnych celach. Podpisanie umowy powierzenia z administratorem portalu jest raczej niemożliwe, poza tym konstrukcja taka byłaby mocno kontrowersyjna (administrator portalu musiałby zagwarantować, że nie przetwarza danych we własnych celach). Kolejna kwestia związana jest z tym, że w momencie zamieszczenia danych na portalu społecznościowym (takim jak Facebook) dochodzi w zasadzie do przekazania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy o ochronie danych osobowych, a zatem należałoby mieć na uwadze zasady przekazywania danych o których mowa w Rozdziale 7 ustawy (np. potrzebę uzyskania zgody na piśmie zgodnie z art. 47 ust. 3 pkt 1 ww. ustawy). Postulat ten jest trudny do realizacji, ale jak się wydaje działanie takie w  świetle obowiązujących przepisów byłoby zalecane. Pozyskiwanie dodatkowej zgody może być jednak niezrozumiałe dla osoby, która zgodę wyraża (zgoda na rozpowszechnianie wizerunku w celu jego publikacji na portalu społecznościowym jest dla zdecydowanej większości osób czytelna i zrozumiała). Poza tym sama forma publikacji sugeruje, że dane mogą zostać udostępnione nieograniczonej liczbie osób na całym świecie (podobnie jak w przypadku publikacji zdjęcia na stronie internetowej firmy). Kwestia ta wymagałaby w zasadzie stanowiska przyjętego np. przez organ nadzorczy. W praktyce wydaje się, że zastosowanie jednej klauzuli byłoby wystarczające, pod warunkiem, że osoba ma świadomość na co się zgodzi. Stworzenie trzech osobnych klauzul: 1) na przetwarzanie danych w postaci wizerunku w celu jego zamieszczenia na portalu (art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych); 2) na rozpowszechnienie wizerunku (art. 81 ust. 1 prawa autorskiego), oraz; 3) na przekazanie danych osobowych do państwa trzeciego (art. 43 ust. 3 pkt 1 ustawy o ochronie danych osobowych), wydaje się działaniem zbyt rygorystycznym – dana osoba i tak musiałaby zgodzić się na wszystkie 3 punkty, żeby można było dane przetwarzać w konkretnym celu (zamieszczenia ich na portalu społecznościowym). Istotne powinno być raczej, że osoba może swobodnie i dobrowolnie konkretną decyzję podjąć.

Wizerunek a prawo autorskie

Niezależnie od powyższego należy mieć na uwadze, że w sytuacji w której dochodzi do rozpowszechniania wizerunku (np. poprzez zamieszczenie zdjęcia na stronie internetowej lub profilu firmy na portalu społecznościowym) zastosowanie powinny znaleźć także przepisy ustawy o prawie autorskim i prawach pokrewnych. Zgodnie z art. 81 ust. 1 w/w ustawy rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie (warunek wskazany w drugim zdaniu akurat nie dotyczy analizowanego stanu faktycznego). Z orzecznictwa wynika, że zgoda musi być niewątpliwa i konkretna, co stwierdził Sąd Apelacyjny w Katowicach w sprawie I ACa 740/11 – „Zgoda osoby na publikowanie jej wizerunku może być wyrażona w dowolnej formie, jednakże zgoda ta musi być niewątpliwa i to także co do warunków i płaszczyzn dopuszczalnego wykorzystania. Istnienia tej zgody w żadnym razie nie można domniemywać”.  W ust. 2 w/w przepisu przewidziane zostały dwa wyłączenia, a mianowicie, zezwolenia nie wymaga rozpowszechnianie wizerunku: 1) osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych; 2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza. Pierwszy wyjątek dotyczy niewielkiego kręgu osób powszechnie znanych  (może to być np. przedstawiciel administracji publicznej, który na zaproszenie firmy pojawił się na oficjalnym wydarzeniu). W odniesieniu do drugiego wyjątku (zezwolenie nie jest wymagane jeśli rozpowszechnienie dotyczy wizerunku osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza), to należy wziąć pod uwagę, że przepis nie jest zbyt precyzyjny i ustawodawca nie wskazał co należy rozumieć dokładanie przez „zgromadzenie” czy „publiczną imprezę”. Z orzecznictwa raczej wynika, że dotyczy to sytuacji w których mamy do czynienia z tak dużą ilością ludzi, że pobieranie zgody nie jest realne (np. koncert, wydarzenie sportowe, zgromadzenie na ulicy, itp.). Nie można jednak podać że konkretna ilość osób stanowi o tym, że mamy do czynienia ze zgromadzeniem czy publiczną imprezą, dlatego należałoby podchodzić do tego wyłączenia bardzo ostrożnie.

Wizerunek jako dobro osobiste

Poza kwestiami poruszonymi wyżej należy także pamiętać, że wizerunek stanowi także dobro osobiste w rozumieniu art. 23 i 24 kodeksu cywilnego. Publikowanie zdjęć w Internecie bez zgody osoby na nim uwiecznionej z całą pewnością może zostać uznane za naruszenie tego dobra. Należy mieć także na uwadze, że nawet jeśli zgodą dysponujemy (np. pozyskaliśmy zgodę na publikację zdjęć na portalu Facebook z imprezy integracyjnej) to i tak osoba, która uważa, że przez publikację wizerunku doszło do naruszenia jej dóbr osobistych może zawsze złożyć pozew cywilny. Dlatego nigdy nie należy publikować zdjęć, które mogłyby kogokolwiek przedstawiać w niekorzystnym świetle. Stąd zawsze przed opublikowaniem określonych zdjęć (np. z imprezy integracyjnej) należy się zastanowić, czy nie przedstawiają one kogoś w taki sposób, że osoba ta mogłaby poczuć się urażona. Niekiedy sytuacje takie mogą nie być całkiem oczywiste. Jako przykład podawana była swego czasu sytuacja w której na portalu firmowym w mediach społecznościowym pojawiło się zdjęcie uśmiechniętego pracownika siedzącego nad szklanką piwa, podczas gdy był on członkiem wspólnoty religijnej która kategorycznie zakazywała spożywania alkoholu i już samo uczestniczenie w tego typu imprezach nie było tolerowane. Dlatego dobrą praktyką, nawet jeśli już mamy zgodę na publikację zdjęć z danego wydarzenia może być np. wcześniejsze zamieszczenie zdjęć (po wcześniejszym usunięciu tych które w sposób oczywisty kontrowersyjnych), które mają być opublikowane na wewnętrznym dysku sieciowym, lub w innym miejscu do którego dostęp mają wyłącznie osoby wewnątrz firmy, tak żeby pracownicy którzy się na nich znajdują mogli się z nimi zapoznać i zgłosić w razie potrzeby, że nie życzą sobie, aby konkretne zdjęcie było publikowane.

Powyższe uwagi w odpowiednim zakresie należałoby odnieść do sytuacji, w której firma chciałaby na portalu zamieścić zdjęcia zawierające wizerunki innych osób (niebędących pracownikami). Mogą to być np. osoby które uczestniczyły w jakimś wydarzeniu, czy akcji promocyjnej organizowanej przez firmę. Wydaje się, że samo wykonanie zdjęć i ich późniejsze przetwarzanie przez określony czas dla wewnętrznych potrzeb firmy można by uzasadnić w niektórych okolicznościach prawnie usprawiedliwionym celem administratora (gdy np. jest on organizatorem lub współorganizatorem danego wydarzenia). Znowu pojawia się jednak wówczas problem z realizacją obowiązku informacyjnego (wskazane byłoby, żeby był on w jakiś sposób realizowany np. w treści regulaminu wydarzenia, przy rejestracji uczestników, itp.). Nie zawsze będzie to możliwe – zwłaszcza jeśli dane wydarzenie ma charakter otwarty i może się na nim pojawić nieokreślone z góry osoby.

Jednak podobnie jak w przypadku pracowników, gdyby następnym krokiem miałaby być publikacja zdjęć (na stronie internetowej, portalu społecznościowym itp.) ponownie należy stanąć na stanowisku o konieczności pozyskania wcześniejszej zgody takiej osoby. Jakkolwiek nie byłoby to problematyczne, to nie sposób znaleźć jest podstawy prawne dla rozpowszechniania zdjęć na których znajdują się osoby, które można łatwo zidentyfikować. Dlatego należy w odpowiednim zakresie stosować uwagi, które były wskazane powyżej.

Reasumując, należy stwierdzić, że do zamieszczania zdjęć zawierających wizerunki innych osób na stronie internetowej, czy na oficjalnym profilu firmy na portalu społecznościowym należy podchodzić bardzo ostrożnie pamiętając, że poza przepisami dotyczącymi ochrony danych osobowych, zastosowanie znajdują także przepisy innych ustaw (ustawa o prawie autorskim i prawach pokrewnych oraz kodeks cywilny). Warto mieć także na uwadze, że zgoda na rozpowszechnienie wizerunku poprzez jego umieszczenie na określonym portalu jest o tyle istotna, że w momencie ujawnienia zdjęcia w Internecie traci się nad nim faktyczną kontrolę. Wydaje się także, że w takim przypadku należałoby uznać administratora portalu za odrębnego administratora danych (niezależnie od tego, że administratorem jest także podmiot, który dane zamieszcza). Warto pamiętać przy tym, że osoba której dane dotyczą zawsze może też cofnąć zgodę na przetwarzanie danych i zażądać usunięcia jej wizerunku w świetle uprawnień przewidzianych w rozdziale 4 ustawy o ochronie danych osobowych. Wypada także mieć na uwadze, że Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) przewiduje jeszcze dalej idące uprawnienia w związku z szerszymi uprawnieniami przewidzianymi w przypadku przetwarzania danych w sieci publicznej (tzw. „prawo do bycia zapomnianym”). Zgodnie z art. 17 ust. 2 RODO, jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe (bo np. osoba cofnęła zgodę na ich przetwarzanie), to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Henryk Hoser

audytor JDS Consulting, aplikant adwokacki