Podstawy prawne publikowania zdjęć i wywiadów z pracownikami

 

Wyjaśniam zasady publikowania zdjęć i wywiadów z pracownikami zgodnie z RODO i polskim prawem (w tym Kodeksem pracy i prawem autorskim).

---

✅ 1. Podstawy prawne publikowania zdjęć i wywiadów z pracownikami

W Polsce trzeba wziąć pod uwagę trzy równoległe reżimy prawne:

A. RODO – dane osobowe (wizerunek, głos, biogram)

Podstawą przetwarzania jest najczęściej zgoda pracownika (art. 6 ust. 1 lit. a RODO), ponieważ:

• publikacja zdjęć nie jest niezbędna do zatrudnienia,
• pracownik jest stroną „słabszą”, więc trudno wykazać inną podstawę.

Wyjątek:
Zgoda nie jest konieczna, jeśli publikacja jest elementem oficjalnych obowiązków służbowych (np. wystąpienie rzecznika prasowego, członka zarządu).
Wtedy podstawą może być prawnie uzasadniony interes pracodawcy.

---

B. Kodeks pracy – zgoda pracownika

Art. 22¹ §1 KP nie pozwala pracodawcy żądać zdjęcia od pracownika jako danych osobowych.
Publikacja w internecie wymaga odrębnej zgody – wyraźnej, dobrowolnej, możliwej do wycofania.

---

C. Prawo autorskie – wizerunek (art. 81)

Publikacja wizerunku wymaga zgody osoby przedstawionej, niezależnie od RODO.
Zgoda może być:

• jednorazowa (do konkretnej publikacji),
• ogólna, ale precyzyjna (np. zgoda na publikację w social media firmy w celach kampanii promocyjnej produktu A).

Wyjątki ustawowe (np. „osoba powszechnie znana”) nie dotyczą standardowych pracowników.

---

✅ 2. Jak poprawnie zbierać zgodę od pracownika

✔️ Zgoda musi być:

• dobrowolna (pracownik może odmówić bez konsekwencji),
• konkretna (gdzie publikacja nastąpi — dokładne kanały),
• świadoma (pracownik wie, z czym się zgadza),
• udzielona wprost (najlepiej pisemnie),
• możliwa do wycofania w każdej chwili.

✔️ Minimalny zakres zgody:

• kogo dotyczy (pracownik: imię/nazwisko, stanowisko),
• czego dotyczy (zdjęcia, nagrania, wywiady),
• gdzie będzie publikowane (strona WWW, social media: LinkedIn, FB, Instagram, YouTube),
• w jakim celu (promocja pracodawcy, employer branding),
• na jak długo (np. „do czasu wycofania zgody” ale nie dłużej niż 2 lata),
• informacja o przysługujących prawach (RODO).

---

📌 3. Publikacja zdjęć z wydarzeń pracowniczych

✔️ Zdjęcia grupowe

• można publikować bez zgód, jeśli konkretne osoby nie są głównym tematem i nie można ich łatwo zidentyfikować (typowe ujęcia szerokie),
• ale przy mniejszych grupach lub wyraźnych twarzach lepiej mieć zgodę.

✔️ Zdjęcia indywidualne, portrety

• zawsze wymagają zgody.

✔️ Filmy z wywiadami

• wymagają zarówno zgody na publikację wizerunku, jak i zgody na przetwarzanie głosu, wypowiedzi oraz danych osobowych.

---

📌 4. Co z byłymi pracownikami?

• po rozwiązaniu umowy zdjęcia i wywiady powinny zostać usunięte, jeśli podstawą była zgoda,
• można pozostawić materiały tylko wtedy, gdy zgoda obejmowała określony okres (2 lata) i nie została wycofana.

---

📌 5. Jak minimalizować ryzyko?

✔️ Wprowadzamy:

• rejestr zgód (kto, kiedy, na co),
• wzór zgody dla pracowników,
• procedurę wycofania zgody,
• jasną politykę komunikacji wizerunkowej.

✔️ Unikamy:

• ogólnych zgód typu „na wszystkie przyszłe materiały marketingowe”,
• zgód ukrytych w umowie o pracę (nieważne!),
• publikacji wizerunku bez daty ważności lub procesu weryfikacji.

---

📌 6. Minimalny praktyczny workflow dla firmy

1. Pracownik otrzymuje formularz zgody przed wykonaniem zdjęcia/wywiadu.
2. Fotograf/marketing otrzymują listę osób, które wyraziły zgodę.
3. Materiał jest zatwierdzany przed publikacją.
4. Materiały archiwalne są cyklicznie sprawdzane (co 6–12 miesięcy).
5. Firma usuwa materiały na żądanie pracownika.

---

Rekruter i incydent co da się zrobić a co nie

 

Rekruter przetworzył dane osobowe kandydatów za pomocą AI ale zapomniał o tym powiadomić w klauzuli informacyjnej z RODO. AI działa w ten sposób że w zautomatyzowany sposób weryfikuje kandydatów i ze 100 wybiera 5.

 

++++++++++++++

⚠️ Uwaga Rekruterze! Ten błąd może Cię sporo kosztować – również wizerunkowo.

Coraz częściej w procesach rekrutacyjnych korzysta się z narzędzi AI, które pomagają szybko przeanalizować aplikacje kandydatów. To świetne wsparcie… pod warunkiem, że pamiętasz o RODO.

A co jeśli – jak w tej historii 👇

Rekruter wykorzystał system AI do automatycznej weryfikacji kandydatów. Narzędzie „przesiało” 100 CV i wskazało 5 najlepszych. Problem w tym, że rekruter nie poinformował o tym kandydatów w klauzuli informacyjnej.

Brzmi niewinnie? Niestety, to poważne naruszenie RODO.

🔍 Dlaczego to jest problem?

Jeśli stosujesz AI, które automatycznie profiluje, kategoryzuje lub selekcjonuje kandydatów, to:

• musisz poinformować o tym w klauzuli informacyjnej,
• opisać logikę działania narzędzia, przynajmniej ogólnie,
• wskazać, że decyzja ma element automatyzacji oraz
• zapewnić kandydatowi prawo do sprzeciwu i żądania interwencji człowieka.

Brak takiej informacji = naruszenie obowiązku informacyjnego, a to jedna z najczęstszych przyczyn kar w obszarze HR.

🛡️ Jak temu zapobiec?

• Upewnij się, że Twoja klauzula informacyjna uwzględnia wszystkie narzędzia AI, jakie wykorzystujesz.
• Przeanalizuj proces rekrutacyjny pod kątem automatycznego podejmowania decyzji.
• Zadbaj o transparentność – kandydaci mają prawo wiedzieć, że analiza ich CV odbywa się w sposób zautomatyzowany.

Pamiętaj: AI nie zwalnia z RODO. AI dodaje obowiązki.

++++++++++++++++++++++++

jakie dane osobowe przetwarzane są w ramach reklamacji

 

W ramach reklamacji najczęściej przetwarzane są dane osobowe niezbędne do przyjęcia, rozpatrzenia i obsługi reklamacji. Zakres zależy od rodzaju produktu/usługi i kanału zgłoszenia, ale typowo obejmuje:

---

1. Dane identyfikacyjne klienta

• imię, nazwisko
• numer klienta / numer zamówienia
• login (jeśli reklamacja dotyczy konta online)

2. Dane kontaktowe

• adres e-mail
• numer telefonu
• adres korespondencyjny (gdy np. odsyła się towar lub wysyła odpowiedź pocztą)

3. Dane związane z transakcją

• data i miejsce zakupu
• dane o produkcie/usłudze
• numer paragonu/faktury
• sposób płatności (bez pełnych danych karty)

4. Treść zgłoszenia reklamacyjnego

• opis wady, problemu lub roszczenia
• korespondencja z klientem (e-maile, formularze, czat)

5. Dane z dokumentacji dowodowej (jeśli klient ją załącza)

• zdjęcia produktu
• nagrania wideo
• skany dokumentów (np. potwierdzenie zakupu)

6. Dane logistyczne związane z wysyłką / odbiorem towaru

• adres nadawcy/odbiorcy
• numer przesyłki

---

Co ważne z perspektywy RODO:

• Administrator powinien przetwarzać tylko te dane, które są konieczne do obsługi reklamacji (zasada minimalizacji).
• Podstawą prawną jest najczęściej art. 6 ust. 1 lit. b RODO – wykonanie umowy lub działań przedumownych oraz/lub lit. c – obowiązek prawny wynikający z przepisów o rękojmi/ gwarancji.
• Dane z reklamacji przechowuje się zwykle przez okres trwania rękojmi/gwarancji + okres przedawnienia roszczeń.

Jakie dane osobowe przetwarza się w dziale handlowym

 Handlowcy to często „punkt styku” firmy z klientem, więc przetwarzają bardzo dużo danych osobowych… często nie zdając sobie z tego sprawy.

---

💼 Jakie dane osobowe przetwarza się w dziale handlowym?

Dział handlowy to kopalnia danych osobowych – zarówno klientów, jak i partnerów biznesowych.
Najczęściej są to:

🧍‍♂️ 1️ Dane klientów i kontrahentów:

• imię i nazwisko,
• stanowisko, firma, NIP, adres e-mail, numer telefonu,
• adres dostawy, dane do faktury,
• historia zakupów i płatności,
• notatki z rozmów i spotkań (często z danymi wrażliwymi, np. o planach biznesowych).

💻 2️ Dane w systemach CRM i marketing automation:

• dane kontaktowe pozyskane z zapytań ofertowych, leadów, kampanii, eventów,
• historia kontaktów, status klienta, wyniki kampanii,
• dane o otwarciach maili i kliknięciach w newsletterze.

🤝 3️ Dane osób, z którymi handlowiec współpracuje:

• dane dostawców, dystrybutorów, przedstawicieli, partnerów handlowych,
• dane uczestników spotkań, konferencji, wydarzeń branżowych.

---

🔓 Jak dane mogą wyciec w dziale handlowym?

Handlowcy często pracują mobilnie i korzystają z wielu narzędzi — a to zwiększa ryzyko wycieku.
Oto najczęstsze scenariusze:

📱 1. Brak zabezpieczeń urządzeń

• laptop lub telefon służbowy bez hasła lub szyfrowania,
• wysyłanie danych klientów przez prywatny e-mail lub komunikator,
• korzystanie z publicznego Wi-Fi podczas pracy w terenie.

📤 2. Wyciek przez narzędzia i integracje

• przesyłanie danych klientów do narzędzi AI, które przetwarzają je poza UE,
• nieautoryzowane eksporty danych z CRM-a,
• automatyczne integracje marketingowe bez weryfikacji, jakie dane są przesyłane.

📧 3. Błędy ludzkie

• wysyłka oferty lub danych nie do tego klienta (literówka w adresie e-mail),
• załączenie niewłaściwego pliku z danymi innych kontrahentów,
• notatki o klientach (np. „niepłatnik”, „ma problemy”) widoczne dla nieuprawnionych osób.

🗂️ 4. Brak kontroli nad danymi po odejściu pracownika

• brak zablokowania konta w CRM,
• prywatne kopie danych klientów, np. na pendrive’ach lub prywatnym laptopie,
• przechowywanie danych w notatnikach, arkuszach Excel, kalendarzach Google itp.
• Nie usunięto służbowego konta pocztowego typu: imię_nazwisko@domena.pl lub inicjału imienia z nazwiskiem (taki maile to dane osobowe pracownika).

---

🧠 Jak chronić dane osobowe w dziale handlowym?

✅ stosować szyfrowanie i hasła na urządzeniach mobilnych,
✅ nie korzystać z prywatnych kanałów komunikacji do kontaktu z klientami,
✅ regularnie aktualizować systemy CRM i ograniczać dostęp do danych,
✅ weryfikować, jakie dane są przekazywane do zewnętrznych narzędzi (np. AI, reklamy),
✅ szkolić handlowców z zasad ochrony danych i tajemnicy handlowej,
✅ usuwać dane klientów po zakończeniu współpracy, jeśli nie ma podstawy do dalszego przetwarzania.

---

💬 Podsumowując:
Dla handlowców dane osobowe to codzienne narzędzie pracy.
Ale każdy e-mail, CRM czy notatka o kliencie to też potencjalne źródło ryzyka wycieku, jeśli nie są właściwie chronione.

---

Jakie dane osobowe przetwarza się na produkcji

 Działy produkcji często mówią: „u nas nie ma danych osobowych”, a tymczasem… mają ich całkiem sporo

🏭 Jakie dane osobowe przetwarza się na produkcji?

Dział produkcji przetwarza dane głównie dotyczące pracowników i osób współpracujących, ale często też dane dostawców, serwisantów czy kontrahentów.
Najczęstsze kategorie danych to:

👷‍♂️ 1️ Dane pracowników:

• imię i nazwisko,
• numer ewidencyjny / ID pracownika,
• stanowisko, zmiana, dział,
• dane z kart dostępu (wejścia/wyjścia),
• wizerunek z monitoringu (CCTV),
• nagrania z kamer przy stanowiskach pracy,
• dane w systemach rejestracji czasu pracy (RCP).

⚙️ 2️ Dane w dokumentacji produkcyjnej:

• listy obecności, grafiki zmian,
• raporty wydajności powiązane z konkretnym pracownikiem,
• zapisy z maszyn (np. kto logował się do urządzenia lub wykonał daną partię produkcyjną).

🧰 3️ Dane osób z zewnątrz:

• dane osobowe serwisantów, kontrahentów wchodzących na teren zakładu,
• numery rejestracyjne pojazdów,
• wpisy w księdze wejść i wyjść.

---

🔓 Jak dane mogą wyciec z produkcji?

Wycieki w działach produkcyjnych to często ciche incydenty, które pozostają niezauważone.
Oto typowe scenariusze:

🧩 1. Monitoring i urządzenia rejestrujące

• brak ograniczenia dostępu do nagrań z kamer (np. każdy kierownik może je pobierać),
• nagrania kopiowane na prywatne nośniki,
• zbyt długi okres przechowywania nagrań,
• brak oznaczeń o monitoringu.

📋 2. Dokumentacja papierowa

• listy obecności lub grafiki zmian wiszące publicznie przy wejściu,
• raporty z nazwiskami zostawione na stanowiskach pracy,
• brak niszczenia wydruków po wykorzystaniu.

💻 3. Systemy informatyczne i maszyny

• loginy i hasła udostępniane między pracownikami,
• brak wylogowywania się z systemu MES / ERP,
• zdalny dostęp do maszyn lub serwerów bez zabezpieczeń.

🧑‍💼 4. Błędy ludzkie

• wysyłka raportu z danymi pracowników do niewłaściwej osoby,
• udostępnienie nagrań z monitoringu bez podstawy prawnej,
• nieuwaga przy przekazywaniu danych np. do kadr lub HR.

---

🧠 Jak chronić dane osobowe na produkcji?

✅ ograniczyć dostęp do nagrań i raportów tylko do osób uprawnionych,
✅ zabezpieczyć dokumenty papierowe (np. zamykane szafki, niszczarki),
✅ szkolić pracowników z podstaw RODO i poufności,
✅ regularnie audytować systemy rejestrujące pracę,
✅ skrócić okres przechowywania nagrań do niezbędnego minimum,
✅ zapewnić oznaczenia o monitoringu w widocznych miejscach.

---

💬 Podsumowując:
Na produkcji danych osobowych jest więcej, niż się wydaje.
Wizerunek, raport wydajności czy karta wejścia — to wszystko dane osobowe, które trzeba chronić tak samo jak dane klientów czy pracowników biurowych.

---

Skutki braku procedury sprostowania danych w procesie reklamacji

 

Brak procedury sprostowania danych w procesie reklamacji może mieć realne konsekwencje prawne, organizacyjne i dla samych klientów.

---

❗ Skutki braku procedury sprostowania danych w procesie reklamacji

1) Niezrealizowanie prawa z art. 16 RODO

Jeżeli klient zgłasza błąd w danych (np. pomyłka w adresie, numerze zamówienia czy danych kontaktowych), a firma nie ma procedury obsługi takich wniosków, najczęściej dochodzi do opóźnienia lub całkowitego braku reakcji.
➡ Skutek: formalne naruszenie RODO — niezrealizowanie prawa do sprostowania.

---

2) Opóźnienia lub błędne rozpatrzenie reklamacji

Bez poprawnych danych:

• reklamacja może być przypisana do niewłaściwej osoby,
• informacja zwrotna może nie dotrzeć do klienta,
• firma analizuje nieaktualne lub nieprawdziwe dane.

➡ Skutek: realna szkoda dla klienta i zwiększone ryzyko sporu.

---

3) Ryzyko naruszenia integralności danych

Brak procedury oznacza często:

• brak rejestru,
• brak kontroli kto i kiedy zmienia dane,
• możliwość dokonania zmian przez nieuprawnione osoby.

➡ Skutek: naruszenie zasady prawidłowości danych i zasady integralności (art. 5 RODO).

---

4) Wydłużenie czasu obsługi reklamacji

Bez jasnych instrukcji:

• pracownicy nie wiedzą, kto odpowiada za korektę danych,
• poprawki są zgłaszane „na oko”, e-mailem, ustnie,
• zgłoszenia krążą między działami.

➡ Skutek: chaos operacyjny, wyższe koszty i niezadowolenie klienta.

---

5) Większe ryzyko naruszeń danych osobowych

Improwizowane działania przy sprostowaniach (np. przesyłanie danych między działami bez kontroli) zwiększają ryzyko:

• ujawnienia danych nieuprawnionym osobom,
• pomylenia danych klientów.

➡ Skutek: potencjalne zgłoszenie naruszenia do UODO + konsekwencje wizerunkowe.

---

6) Brak rozliczalności (art. 5 ust. 2 RODO)

Brak procedury = brak dowodu, że ADO działa prawidłowo.
W przypadku skargi klienta administrator nie będzie w stanie wykazać, że:

• przyjął żądanie sprostowania,
• odpowiednio je obsłużył,
• zareagował bez zbędnej zwłoki ale nie dłużej niż miesiąc.

➡ Skutek: wysoka podatność na zarzut naruszenia obowiązków administratora.

---

7) Zwiększone ryzyko sankcji

UODO może uznać brak procedury za:

• naruszenie praw osób,
• naruszenie zasady rozliczalności,
• naruszenie zasad przetwarzania danych (prawidłowość, integralność).

➡ Skutek: ryzyko kary finansowej i nakazów naprawczych.

---

„efekt kuli śnieżnej” w RODO

 

🧨 „Efekt kuli śnieżnej” w RODO — czyli jak drobny incydent może rozjechać firmę

W kontekście ochrony danych osobowych efekt kuli śnieżnej polega na tym, że niewielkie, często zignorowane zdarzenie (np. wysłanie maila do złego odbiorcy czy zgubiony pendrive) uruchamia lawinę kolejnych konsekwencji, jeśli organizacja nie reaguje właściwie i na czas.

---

1️ Faza pierwsza — mały incydent, duże zlekceważenie

Zaczyna się niewinnie: ktoś popełnia błąd, ale „to przecież nic takiego”.
Nikt nie zgłasza sprawy IOD-owi, nie wpisuje incydentu do rejestru, nie analizuje ryzyka.
W ten sposób firma traci pierwszy moment, w którym mogła jeszcze wszystko zatrzymać.

---

2️ Faza druga — brak reakcji i brak procedur

Ponieważ nikt nie reaguje, problem nie trafia do systemu zarządzania bezpieczeństwem.
To oznacza, że kolejne podobne błędy będą się powtarzać, bo:

• pracownicy nie wiedzą, co jest incydentem,
• nie ma jasnej ścieżki zgłaszania,
• brak osoby odpowiedzialnej za analizę i działania naprawcze.

Efekt? Firma żyje w przekonaniu, że „nic się nie dzieje”, choć w tle już dzieje się sporo.

---

3️ Faza trzecia — kolejne incydenty, coraz większe ryzyko

Bez korekty procesów, drobne błędy zaczynają się kumulować.
Z czasem:

• pojawiają się realne wycieki danych,
• rośnie liczba osób, których dane mogły zostać ujawnione,
• zaczynają się skargi od klientów lub pracowników.

To moment, gdy z małej kuli robi się lawina.

---

4️ Faza czwarta — kontrola i konsekwencje

W końcu ktoś (np. osoba, której dane wyciekły) zgłasza sprawę do UODO.
Urząd prosi o dokumentację incydentów i analiz ryzyka.
A firma nie ma ani jednego wpisu w rejestrze, żadnych dowodów działań, żadnej procedury.
W tym momencie nie broni się już z samego naruszenia, tylko braku zarządzania ryzykiem — i to tu zapadają największe kary.

---

5️ Faza piąta — utrata zaufania i koszty naprawy

Po kontroli pojawiają się:

• obowiązek wdrożenia zmian,
• obowiązek poinformowania osób, których dane wyciekły,
• potencjalne pozwy cywilne,
• kryzys wizerunkowy, który ciągnie się miesiącami.

To klasyczny efekt domina: jedno zlekceważenie uruchamia szereg strat finansowych, prawnych i reputacyjnych.

---

🧩 Wniosek: RODO nie wymaga perfekcji — wymaga reakcji

Żadna firma nie uniknie incydentów, ale każda może uniknąć efektu kuli śnieżnej.
Wystarczy mieć:

• procedurę reagowania na incydenty,
• szkolonych pracowników,
• rejestr i analizę ryzyka,
• gotowy plan działań naprawczych.

---

Najprościej wykupić abonamentową usługę obsługi przez eksperta z RODO. Masz w niej kilka darmowych godzin w miesiącu, ale też niższą cenę za godzinę niż tak z doskoku. Nawet jak będziesz miał spotkanie online raz w miesiącu to spokojnie rozwiążesz większość swoich problemów w tym obszarze. Jest wielu IOD, którzy pracują zdalnie, od pandemii, gdzie wszyscy się przekonali, że tak też można pracować.