Verwerking van persoonsgegevens van werknemers

Hoe kan worden vastgesteld of de werkgever bij het (elektronisch) toezicht op zijn werknemers of bij de verwerking van hun gegevens op een geoorloofde manier iemands privéleven binnendringt of daarentegen een overtreding begaat?


De werkgever moet immers de privacy van de werknemers beschermen wat betreft de verwerking van hun persoonsgegevens. 

In principe is de werkgever bij voorbaat bevoegd de gegevens van de werknemers te verwerken om zijn specifieke rechten en verplichtingen op het gebied van het arbeidsrecht (contractuele noodzaak, wettelijke noodzaak, bedrijfsbelang) te vervullen. Hij beschikt over een gezagsrecht en het recht bevelen te geven en hij heeft de verplichting ervoor te zorgen dat het werk in goede omstandigheden voor de veiligheid en de gezondheid van de werknemers wordt uitgevoerd. 

De verwerking van gevoelige informatie is in principe verboden maar de werkgever kan zich op enkele uitzonderingen beroepen. Zo kan de werkgever in bepaalde door de wet gedefinieerde gevallen deze gegevens toch verwerken (bv. indien vereist door het arbeidsrecht). Een ander voorbeeld van een uitzondering is de situatie waarin de werknemer expliciet zijn toestemming heeft gegeven.

Tot slot moet de hantering van dergelijke persoons- of gevoelige gegevens door de werkgever in de regel voldoen aan drie fundamentele principes om de bescherming van de werknemers te waarborgen, nl. de naleving van het finaliteitsbeginsel, het evenredigheidsbeginsel en het transparantiebeginsel.
 

De persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld.

Enkele voorbeelden van dergelijke doelen:

  • De controle op de online communicatie kan bv. gebeuren om wangedrag te voorkomen, vertrouwelijke bedrijfsgegevens te beschermen, het netwerk te beveiligen of de naleving van de interne netwerkafspraken te controleren (bv. geen overdreven privaat gebruik).
  • Geolocatie kan bv. worden gebruikt om de veiligheid van de werknemer te garanderen, het dienstvoertuig te beschermen, in te spelen op welomschreven professionele behoeften op het gebied van transport en logistiek of bewust toezicht op het personeel te houden, dus om het professioneel gebruik van de dienstwagen en de behoorlijke uitvoering van het arbeidsregime te controleren. 
  • Camerabewaking kan gebeuren voor de veiligheid en gezondheid van de werknemer, de bescherming van de goederen van de onderneming, de controle van het productieproces en de controle van het werk van de werknemer.

Verwerk niet meer persoonsgegevens dan nodig om het doel van het (elektronisch) toezicht te verwezenlijken. De verwerking moet toereikend, ter zake dienend en niet overmatig zijn.

Enkele voorbeelden van een verwerking die beantwoordt aan het evenredigheidsbeginsel

  • Proportionaliteit bij het cameratoezicht betekent bv. dat er geen cameratoezicht wordt georganiseerd in de bedrijfstoiletten en geen permanent (maar slechts tijdelijk) cameratoezicht als het de bedoeling is de werknemers te viseren.
  • Op het vlak van geolocatie betekent proportionaliteit bv. het kunnen uitschakelen van het toestel wanneer het voertuig buiten de werkuren wordt gebruikt. 

Het transparantiebeginsel behelst de verplichting werknemers te informeren. Dat betekent dat ze moeten worden ingelicht dat hun gegevens worden verwerkt en voor welke doelen. Deze informatie moet worden verstrekt op het moment dat de gegevens worden verzameld, dus bij het sluiten van de arbeidsovereenkomst. De werknemers beschikken over een hele reeks rechten om de controle over hun gegevens te behouden.

De AVG verplicht de werkgever echter als verantwoordelijke voor de gegevensverwerking de volgende informatie aan de werknemer te verstrekken:

  • de periode  waarin persoonsgegevens worden bewaard of, als dat niet mogelijk is, de criteria die worden gebruikt om deze periode te bepalen (in principe is de bewaartermijn voor sociale documenten 5 jaar vanaf het einde van de arbeidsovereenkomst);
  • als de verwerking op basis van de toestemming van de werknemer gebeurt, het recht deze toestemming steeds in te trekken;
  • het recht klacht in te dienen bij de GBA

Voor de mededeling van deze informatie gelden geen specifieke vormvereisten, maar het wordt aanbevolen een schriftelijk document te gebruiken, zoals het arbeidsreglement.

Enkele voorbeelden van een transparante verwerking:

  • De werkgever moet ervoor zorgen dat de werknemers bij het opstarten van het (elektronisch) toezicht vooraf worden ingelicht over alle aspecten van het toezicht. De wettelijke en conventionele bepalingen over het inlichten van de werknemers en de raadpleging van (vertegenwoordigers van) werknemers moeten ook worden nageleefd.
  • Wat betreft het toezicht op het gebruik van het bedrijfsnetwerk betekent transparantie bv. het verstrekken van informatie aan de (vertegenwoordigers van) werknemers over het soort gebruik dat is toegestaan/verboden, de wijze waarop dit gebruik zal worden gecontroleerd, de beslissingen die de werkgever tegen de gebruiker kan nemen op basis van de gegevens die tijdens het toezicht worden verzameld, het recht van toegang van de werknemer tot zijn eigen persoonsgegevens, ... 

De AVG verplicht de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en de verwerkers interne documentatie bij te houden over de verwerkingsactiviteiten die onder hun verantwoordelijkheid worden uitgevoerd. Dit is het verwerkingsregister of gegevensregister. Deze verplichting vervangt de vroegere aangifteverplichting bij de GBA.

Het bijhouden van een gegevensregister is verplicht voor alle ondernemingen met meer dan 250 werknemers. Kleinere bedrijven zijn alleen verplicht een register bij te houden:

  • als de verwerking betrekking heeft op bepaalde bijzondere categorieën van gegevens of op gegevens in verband met strafrechtelijke veroordelingen en strafbare feiten; OF
  • als de verwerking een risico kan inhouden voor de rechten en vrijheden van de betrokkenen; OF
  • als de uitgevoerde verwerking niet incidenteel is.

Deze laatste uitzondering houdt in dat vrijwel alle werkgevers verplicht zijn een gegevensregister bij te houden. Volgens de GBA is het personeelsbeheer een niet-incidentele verwerking.

Bovendien beveelt de GBA aan dat alle bedrijven een gegevensregister bijhouden, ook als deze verplichting niet op hen van toepassing is.