Publikacja wizerunku pracownika – jak wdrożyć procedurę krok po kroku

Projektowanie procedury – od czego zacząć?

Procedura publikacji wizerunku pracownika to uporządkowany proces, który łączy RODO 2016/679, stanowiska UODO i art. 81 ustawy o prawie autorskim, a jego celem jest wykazanie, kto, kiedy, gdzie i na jakiej podstawie opublikował zdjęcie możliwej do zidentyfikowania osoby. RODO daje administratorowi co do zasady 1 miesiąc na odpowiedź na żądanie osoby, której dane dotyczą, dlatego procedura powinna od razu wskazywać kanał obsługi cofnięcia zgody, sprzeciwu i usunięcia materiałów (źródło: RODO, art. 12 ust. 3, 2016). Treść nie zastępuje indywidualnej porady prawnika; przy sporze, kampanii reklamowej albo publikacji na dużą skalę dokumenty powinien sprawdzić prawnik lub IOD.

Po co firmie procedura wizerunkowa?

Procedura nie służy tylko temu, aby zebrać podpisy pod zgodami. Jej podstawową funkcją jest rozliczalność: firma ma umieć wykazać, że zdjęcie pracownika na stronie, w social media pracodawcy, intranecie, katalogu sprzedażowym albo reklamie zostało użyte w określonym celu, zakresie i czasie.

Zasada rozliczalności wymaga, aby administrator przestrzegał zasad przetwarzania danych i potrafił to wykazać.

Parafraza art. 5 ust. 2 RODO, EUR-Lex, 2016

• Cel publikacji – procedura wskazuje, czy chodzi o employer branding, sprzedaż, komunikację wewnętrzną, bezpieczeństwo, PR czy dokumentację wydarzenia firmowego.
• Kanał publikacji – osobno opisuje stronę www, LinkedIn, Facebook, Instagram, YouTube, intranet, prezentacje handlowe, ulotki i materiały drukowane.
• Role w procesie – określa, czy inicjatorem jest HR, marketing, PR, sprzedaż, menedżer działu czy zarząd.
• Podstawa prawna – wymaga sprawdzenia zgody RODO, uzasadnionego interesu pracodawcy oraz zezwolenia na rozpowszechnianie wizerunku.
• Retencja zdjęć – ustala, jak długo firma przechowuje pliki źródłowe, zgody, wersje grafik, linki i historię publikacji.
• Obsługa żądań – opisuje, kto usuwa zdjęcie po cofnięciu zgody, kto ocenia sprzeciw RODO i kto kontaktuje się z pracownikiem.

Kto powinien być właścicielem procesu?

W praktyce właścicielem procesu bywa HR albo marketing, ale kontrola prawna powinna należeć do osoby odpowiedzialnej za ochronę danych. W większych organizacjach będzie to IOD, w mniejszych – wyznaczony pracownik administracji, kancelaria zewnętrzna albo członek zarządu odpowiedzialny za compliance.

Przykład: jeśli dział sprzedaży chce dodać zdjęcia konsultantów do stopki ofert handlowych, nie powinien sam pobierać fotografii z dysku HR. Powinien złożyć krótkie zgłoszenie publikacji, wskazać cel sprzedażowy, kanał e-mail, przewidywany czas używania i podstawę prawną.

Jak ocenić ryzyko kanału publikacji?

Klasa ryzyka zależy od tego, jak szeroko zdjęcie trafia do odbiorców i jak trudno je później usunąć. Zdjęcie w intranecie jest zwykle mniej ryzykowne niż twarz pracownika w płatnej reklamie Meta Ads albo na billboardzie, bo publiczna dystrybucja zwiększa skutki naruszenia.

Kanał	Przykład	Ryzyko	Minimalna kontrola
Intranet	Zdjęcie zespołu projektowego	Niskie lub średnie	Dostęp ograniczony do pracowników i rejestr publikacji.
Strona www	Zakładka „O nas” z imieniem, stanowiskiem i zdjęciem	Średnie	Zgoda lub inna podstawa, klauzula informacyjna i data publikacji.
Social media	Post z targów branżowych na LinkedIn	Średnie lub wysokie	Sprawdzenie zakresu zgody, link do posta i zasada czterech oczu.
Reklama	Wizerunek pracownika w kampanii płatnej	Wysokie	Akceptacja prawna, zezwolenie na rozpowszechnianie wizerunku i okres emisji.
Druk	Katalog, ulotka, roll-up, prezentacja na konferencji	Wysokie	Nakład, data druku, cel, retencja i procedura ograniczenia dalszej dystrybucji.

Podstawa prawna i dokumenty – jaką podstawę wybrać?

Podstawa prawna i dokumenty to zestaw decyzji oraz formularzy, które mają wykazać legalność przetwarzania danych osobowych i legalność rozpowszechniania wizerunku. Przy zdjęciu pracownika trzeba rozdzielić co najmniej dwa porządki: RODO reguluje przetwarzanie danych osobowych, a art. 81 ustawy o prawie autorskim i prawach pokrewnych dotyczy rozpowszechniania wizerunku (źródło: RODO, art. 6, 7 i 13; ustawa o prawie autorskim, art. 81).

Kiedy zgoda pracownika jest bezpieczna?

Zgoda RODO pracownika musi być dobrowolna, konkretna, świadoma i możliwa do cofnięcia. W relacji zatrudnienia dobrowolność jest szczególnie wrażliwa, bo pracownik może obawiać się konsekwencji odmowy. Dlatego nie należy wpisywać szerokiej zgody w treść umowy o pracę jako warunku zatrudnienia.

UODO wskazywał, że wizerunek pracownika nie należy do typowego katalogu danych wymaganych przez Kodeks pracy, więc jego użycie wymaga osobnej oceny podstawy prawnej.

Urząd Ochrony Danych Osobowych, „Ochrona danych osobowych w miejscu pracy”, 2018

• Zgoda na stronę www – powinna wskazywać konkretny kanał, np. profil pracownika w zakładce zespołu kancelarii lub firmy.
• Zgoda na social media – powinna odróżniać zwykły post organiczny od reklamy sponsorowanej, bo reklama ma większy zasięg i inną funkcję.
• Zgoda na materiały drukowane – powinna obejmować nakład, czas dystrybucji i informację, że pełne wycofanie już rozdanych materiałów może być niemożliwe.
• Zgoda na employer branding – powinna wskazywać, czy zdjęcie będzie użyte w ogłoszeniach rekrutacyjnych, relacjach z wydarzeń czy filmach promocyjnych.
• Zgoda na repozytorium zdjęć – nie powinna oznaczać automatycznej zgody na każdą przyszłą publikację bez kontroli celu i kanału.

Wzór dokumentu powinien być oddzielny od umowy o pracę; praktycznie można przygotować wzór zgody na wizerunek pracownika z checkboxami dla kanałów i pól z datą.

Czym różni się zgoda RODO od zezwolenia na rozpowszechnianie wizerunku?

Zgoda RODO odpowiada na pytanie, czy firma może przetwarzać dane osobowe w postaci zdjęcia. Zezwolenie na rozpowszechnianie wizerunku odpowiada na pytanie, czy może pokazać twarz pracownika publicznie, np. na stronie internetowej, w reklamie lub katalogu.

Rozpowszechnianie wizerunku wymaga zezwolenia osoby przedstawionej, chyba że zastosowanie ma ustawowy wyjątek.

Parafraza art. 81 ustawy o prawie autorskim i prawach pokrewnych, ISAP, 1994

Instrument	Podstawa	Do czego służy	Ryzyko błędu
Zgoda RODO	Art. 6 ust. 1 lit. a RODO	Legalizuje przetwarzanie zdjęcia jako danych osobowych.	Zgoda może być kwestionowana, jeśli nie była dobrowolna.
Uzasadniony interes	Art. 6 ust. 1 lit. f RODO	Może wspierać przetwarzanie w celach organizacyjnych lub komunikacyjnych.	Wymaga testu równowagi i prawa sprzeciwu.
Zezwolenie na wizerunek	Art. 81 prawa autorskiego	Dotyczy publicznego rozpowszechniania wizerunku.	Brak zezwolenia może prowadzić do roszczeń cywilnych.

Jak przygotować test uzasadnionego interesu?

Uzasadniony interes pracodawcy nie jest automatyczną furtką do każdej publikacji. Trzeba opisać interes firmy, konieczność użycia zdjęcia, wpływ na pracownika i możliwość sprzeciwu. Pomaga w tym test uzasadnionego interesu, najlepiej podpisany przez właściciela procesu i skonsultowany z IOD.

1. Opisz interes administratora – przykładem może być identyfikacja konsultantów na stronie obsługi klienta albo komunikacja wydarzenia firmowego.
2. Sprawdź niezbędność – oceń, czy cel można osiągnąć bez twarzy pracownika, np. przez zdjęcie zespołowe bez podpisów albo grafikę neutralną.
3. Oceń wpływ na pracownika – weź pod uwagę stanowisko, ekspozycję publiczną, skalę kanału i możliwość dalszego kopiowania zdjęcia.
4. Zaprojektuj zabezpieczenia – ogranicz rozdzielczość pliku, dostęp do repozytorium, czas emisji i zakres podpisu pod zdjęciem.
5. Poinformuj o sprzeciwie – pracownik musi wiedzieć, że może zgłosić sprzeciw wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO.

Jaką klauzulę informacyjną dać pracownikowi?

Klauzula informacyjna powinna wskazywać administratora, cele, podstawy prawne, odbiorców, okres przechowywania, prawa pracownika i kontakt do IOD, jeśli został wyznaczony (źródło: RODO, art. 13, 2016). W procesie można wykorzystać klauzulę informacyjną dla pracownika, ale trzeba ją dopasować do realnych kanałów publikacji.

Z mojej praktyki redakcyjnej przy analizie procedur firmowych wynika, że najczęstszy błąd to jedna ogólna formuła „zgadzam się na wykorzystanie wizerunku w celach marketingowych”. Taki zapis nie mówi, czy chodzi o LinkedIn, YouTube, reklamy Google Ads, folder drukowany, relację z konferencji czy archiwum aktualności.

Workflow publikacji i zatwierdzania – jak uniknąć chaosu?

Workflow publikacji to sekwencja czynności od pomysłu na użycie zdjęcia do archiwizacji linku i dokumentów. Charakteryzuje się zgłoszeniem, kontrolą podstawy prawnej, akceptacją materiału, publikacją oraz rejestrem dowodowym, który pozwala odtworzyć decyzję po 6 miesiącach albo po odejściu pracownika z firmy.

Co powinien zawierać formularz zgłoszenia publikacji?

Formularz nie musi być długi, ale musi wymuszać decyzje, których później nie da się odtworzyć z pamięci. Dla małej firmy wystarczy arkusz w systemie HR lub ticket w narzędziu projektowym, pod warunkiem że dostęp jest kontrolowany.

• Cel publikacji – przykładowo rekrutacja, employer branding, relacja z targów, profil ekspercki, sprzedaż B2B albo komunikacja wewnętrzna.
• Kanał i format – formularz powinien odróżniać stronę www, intranet, LinkedIn, Facebook, prezentację PDF, ulotkę i kampanię reklamową.
• Dane osoby – należy wpisać imię, nazwisko, stanowisko i ewentualny opis, który pojawi się przy zdjęciu.
• Podstawa prawna – trzeba wskazać zgodę, uzasadniony interes albo inną podstawę wraz z datą dokumentu.
• Zakres materiału – należy dodać nazwę pliku, wersję grafiki, autora zdjęcia i informację, czy użyto retuszu lub montażu.
• Okres publikacji – formularz powinien przewidywać datę startu, datę przeglądu i planowaną datę usunięcia albo archiwizacji.

Kiedy stosować zasadę czterech oczu?

Zasada czterech oczu jest potrzebna szczególnie przy publikacji publicznej, reklamowej lub dotyczącej osób pełniących funkcje eksperckie. Jeden pracownik przygotowuje materiał, a drugi sprawdza podstawę prawną, zakres zgody, opis i kanał.

Przykład: marketing przygotowuje grafikę z prawnikiem prowadzącym webinar. HR potwierdza, że zgoda obejmuje publikację w social media, a IOD lub prawnik sprawdza, czy kampania płatna nie wykracza poza dokument. Bez takiej kontroli łatwo użyć zdjęcia z wewnętrznej sesji do zewnętrznej reklamy.

Jak dokumentować datę i zakres publikacji?

Dokumentowanie powinno obejmować nie tylko samą zgodę, ale także wykonanie publikacji. W razie sporu sama kartka z podpisem nie pokaże, gdzie materiał trafił i jak długo był dostępny.

1. Zapisz datę publikacji – rejestr powinien wskazywać dzień i godzinę uruchomienia materiału, zwłaszcza przy kampanii płatnej.
2. Zapisz link lub lokalizację – przy stronie www będzie to URL, przy intranecie ścieżka, a przy druku nazwa projektu i nakład.
3. Zachowaj wersję grafiki – plik źródłowy i finalny powinny mieć numer wersji, np. „webinar_kowalska_v3_2026-05”.
4. Ogranicz repozytorium – dostęp do folderu zdjęć powinni mieć tylko HR, marketing i osoby zatwierdzone w procedurze.
5. Rejestruj usunięcia – po cofnięciu zgody albo sprzeciwie trzeba odnotować datę zdjęcia materiału i osobę wykonującą czynność.

Cofnięcie zgody, sprzeciw i usuwanie – co zrobić po żądaniu pracownika?

Cofnięcie zgody, sprzeciw RODO i usuwanie zdjęć to procedura reakcji na żądanie pracownika, charakteryzująca się terminem odpowiedzi, oceną podstawy prawnej i działaniami technicznymi w wielu kanałach. Cofnięcie zgody działa na przyszłość i nie powoduje automatycznie bezprawności wcześniejszego przetwarzania, ale wymaga zatrzymania dalszego użycia materiału opartego na tej zgodzie (źródło: RODO, art. 7 ust. 3, 2016).

Jak obsłużyć cofnięcie zgody?

Pracownik powinien mieć prosty kanał zgłoszenia: e-mail do HR, formularz w intranecie albo adres IOD. Firma nie powinna wymagać skomplikowanego uzasadnienia, jeśli publikacja opierała się na zgodzie.

1. Przyjmij zgłoszenie – odnotuj datę wpływu, kanał, osobę zgłaszającą i zakres żądania.
2. Ustal podstawę publikacji – sprawdź, czy materiał opiera się na zgodzie, uzasadnionym interesie czy zezwoleniu wizerunkowym.
3. Zablokuj nowe użycia – usuń zdjęcie z listy materiałów dostępnych dla marketingu, sprzedaży i menedżerów.
4. Usuń publikacje aktywne – sprawdź www, social media, intranet, newslettery, prezentacje sprzedażowe i reklamy.
5. Potwierdź wykonanie – odpowiedz pracownikowi w terminie wynikającym z RODO, co do zasady w ciągu 1 miesiąca.

Czym różni się sprzeciw od cofnięcia zgody?

Sprzeciw dotyczy przede wszystkim przetwarzania opartego na uzasadnionym interesie pracodawcy. Wtedy firma musi ocenić, czy ma ważne prawnie uzasadnione podstawy nadrzędne wobec interesów, praw i wolności pracownika (źródło: RODO, art. 21, 2016).

Przykład: pracownik działu obsługi klienta sprzeciwia się utrzymaniu zdjęcia na publicznej stronie po zmianie stanowiska na funkcję wewnętrzną. Interes firmy w prezentacji aktualnego zespołu może już nie istnieć, więc praktyczną decyzją będzie usunięcie zdjęcia z www i pozostawienie wyłącznie minimalnego śladu w rejestrze dowodowym.

Czy trzeba usuwać stare materiały drukowane i archiwalne?

Materiały cyfrowe zwykle można usunąć szybciej niż drukowane. Procedura powinna odróżniać aktywną dystrybucję od egzemplarzy już rozdanych, archiwum dowodowego i kopii technicznych. W tym miejscu warto połączyć procedurę wizerunkową z procedurą realizacji praw osób z RODO.

• Strona www – zdjęcie należy usunąć z aktywnej podstrony, cache i systemu CMS, jeśli dalsze przetwarzanie nie ma podstawy.
• Social media – trzeba usunąć post albo edytować materiał, jeśli platforma pozwala na taką zmianę bez tworzenia nowej publikacji.
• Intranet – administrator powinien sprawdzić aktualności, katalog pracowników, załączniki i stare wpisy projektowe.
• Reklamy – należy zatrzymać emisję, usunąć kreację z menedżera reklam i zachować dowód daty zakończenia kampanii.
• Druk – można zatrzymać dalszą dystrybucję katalogów, ale fizyczne odzyskanie egzemplarzy już przekazanych kontrahentom bywa niewykonalne.
• Archiwum – minimalna dokumentacja może być przechowywana w celu wykazania legalności wcześniejszej publikacji, jeśli istnieje podstawa i okres retencji.

Szkolenia i kontrola procedury – kogo przeszkolić i kiedy aktualizować?

Szkolenia i kontrola procedury to cykliczny mechanizm utrzymania zgodności, charakteryzujący się instrukcją dla zespołów, próbkową kontrolą publikacji, przeglądem dokumentów i aktualizacją po zmianie kanału komunikacji. Bez tego nawet dobrze napisany regulamin staje się martwym plikiem w folderze compliance.

Kogo przeszkolić w pierwszej kolejności?

Szkolenie RODO dotyczące wizerunku powinno objąć osoby, które realnie inicjują albo publikują materiały. Nie wystarczy przeszkolić jedynie działu HR, jeśli zdjęcia wrzuca social media manager, a prezentacje dla klientów tworzy sprzedaż.

• HR – powinien umieć zbierać zgody, aktualizować klauzule i reagować przy odejściu pracownika.
• Marketing – powinien odróżniać post organiczny od kampanii reklamowej i wiedzieć, kiedy potrzebna jest akceptacja prawna.
• PR – powinien kontrolować wypowiedzi eksperckie, zdjęcia z konferencji i materiały dla mediów.
• Sprzedaż – powinna wiedzieć, że zdjęcie w prezentacji handlowej również może być publikacją lub udostępnieniem danych.
• Menedżerowie – powinni znać kanał zgłaszania publikacji i nie wysyłać zdjęć pracowników poza procedurą.
• IOD lub prawnik – powinien opiniować sporne przypadki, wzory zgód, testy interesu i kampanie wysokiego ryzyka.

Jak kontrolować procedurę co 12 miesięcy?

Przegląd roczny powinien obejmować próbkę publikacji i dokumentacji. Liczba próbek zależy od skali firmy, ale praktyczny start to 10-20 materiałów z różnych kanałów: www, LinkedIn, intranet, reklama, prezentacje i druk.

1. Wybierz próbkę publikacji – sprawdź materiały z ostatnich 12 miesięcy, w tym co najmniej jeden materiał reklamowy, jeśli firma prowadzi kampanie.
2. Porównaj zakres zgody – oceń, czy realny kanał publikacji mieścił się w dokumencie podpisanym przez pracownika.
3. Sprawdź klauzulę informacyjną – upewnij się, że pracownik dostał informacje z art. 13 RODO.
4. Zweryfikuj repozytorium zdjęć – usuń pliki nieużywane, duplikaty i fotografie osób, które odeszły z firmy.
5. Udokumentuj wnioski – zapisz błędy, działania korygujące, termin wykonania i osobę odpowiedzialną.

Kiedy aktualizować wzory zgód i klauzul?

Aktualizacja jest potrzebna po zmianie kanałów publikacji, uruchomieniu reklam, wdrożeniu nowej strony, wejściu na TikToka, zmianie agencji marketingowej albo po incydencie. Jeśli firma zaczyna wykorzystywać zdjęcia pracowników w materiałach wideo, dotychczasowa zgoda na zdjęcie profilowe w intranecie nie wystarczy.

W przypadkach spornych bezpieczniej wstrzymać publikację na 24-48 godzin i uzyskać ocenę IOD lub prawnika niż publikować materiał, który później trzeba usuwać z kilku platform jednocześnie. To szczególnie ważne, gdy zdjęcie łączy się z danymi o funkcji, lokalizacji pracy, osiągnięciach, opiniami klientów albo wypowiedzią ekspercką.

Najczęściej zadawane pytania

Czy procedura publikacji wizerunku jest obowiązkowa?

Przepisy nie zawsze nakazują osobny dokument o nazwie „procedura publikacji wizerunku”, ale firma musi wykazać zgodność z RODO i zasadę rozliczalności. W praktyce procedura pomaga udowodnić, kto, kiedy, gdzie i na jakiej podstawie opublikował zdjęcie pracownika. Brak procedury zwiększa ryzyko chaosu dowodowego przy cofnięciu zgody albo sporze.

Czy jedna zgoda może obejmować wszystkie kanały?

Jedna szeroka zgoda jest ryzykowna, jeśli pracownik nie wie, gdzie i po co zdjęcie będzie używane. Bezpieczniej rozdzielić kanały, np. strona www, social media, reklama, intranet i druk. Wtedy pracownik może zgodzić się na profil zespołu, ale odmówić udziału w płatnej kampanii reklamowej.

Czy trzeba pytać pracownika o każdą publikację?

To zależy od zakresu wcześniejszej zgody albo innej podstawy prawnej. Jeżeli nowa publikacja mieści się w tym samym celu, kanale i okresie, ponowne pytanie może nie być konieczne. Jeżeli jednak zdjęcie z intranetu ma trafić do reklamy, trzeba ponownie ocenić podstawę i zwykle uzyskać dodatkową akceptację.

Kto powinien zatwierdzać publikację?

Operacyjnie może zatwierdzać ją właściciel procesu, np. HR albo marketing. Przy materiałach publicznych, reklamowych lub spornych potrzebna jest kontrola osoby odpowiedzialnej za RODO, IOD albo prawnika. Dobrą praktyką jest zasada czterech oczu: jedna osoba przygotowuje materiał, druga sprawdza zakres prawny.

Jak długo przechowywać zgody?

Zgody należy przechowywać tak długo, jak firma musi wykazać legalność publikacji oraz bronić się przed ewentualnymi roszczeniami. Okres powinien wynikać z polityki retencji, rodzaju kanału i ryzyka, a nie z przypadkowej praktyki. Dla aktywnych publikacji dokument powinien być dostępny przez cały czas używania zdjęcia.

Czy procedura powinna obejmować byłych pracowników?

Tak, odejście pracownika powinno uruchamiać przegląd publikacji i podstaw prawnych. Firma powinna sprawdzić stronę www, social media, intranet, katalogi, prezentacje i repozytorium zdjęć. Nie każde zdjęcie trzeba automatycznie usuwać, ale każda dalsza publikacja wymaga świadomej decyzji i podstawy.

Źródła i literatura

Jakie akty prawne wykorzystano?

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., w szczególności art. 5, 6, 7, 12, 13, 17 i 21.
2. Ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, w szczególności art. 81 dotyczący rozpowszechniania wizerunku.
3. Ustawa z 26 czerwca 1974 r. – Kodeks pracy, w szczególności przepisy dotyczące danych pracownika i zgody na przetwarzanie dodatkowych danych.

Jakie opracowania pomagają wdrożyć procedurę?

1. Urząd Ochrony Danych Osobowych, „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, 2018.
2. Europejska Rada Ochrony Danych, „Guidelines 05/2020 on consent under Regulation 2016/679”, 2020.
3. EUR-Lex, oficjalna wersja RODO 2016/679 w języku polskim.
4. ISAP Sejmu RP, tekst ustawy o prawie autorskim i prawach pokrewnych.