juni 2023 - STUDIO-LEGALE

PDF

Diverse media berichtten over een strafklacht tegen ING België.[1] De kredietinstelling zou het e-mailverkeer van zo’n 2.000 werknemers hebben gecontroleerd. Dit roept de vraag op of men als werkgever überhaupt het e-mailverkeer van werknemers mag controleren. Mag dit of gelden er specifieke voorwaarden? Wij zochten het voor u uit.

Privacyrecht vs. controlerecht

Het recht op privacy is een grondrecht waardoor het de werkgever principieel niet toegestaan is om uw e-mailverkeer te controleren. Inbreuken hierop zijn m.a.w. strafbaar. Maar op het principieel verbod gelden weliswaar enkele uitzonderingen waardoor in uitzonderlijke omstandigheden en onder strikte voorwaarden het de werkgever wel toegelaten is om de e-mails van haar werknemers te checken. De werkgever beschikt van zijn kant namelijk over een controlerecht en het zijn deze twee principes die in de praktijk steeds in de weegschaal moeten worden gelegd om een juiste inschatting te maken over de toelaatbaarheid om het e-mailverkeer van de werknemer na te gaan.

Werkgevers kunnen verschillende redenen hebben om e-mailverkeer te controleren, zoals het handhaven van de bedrijfsbeleidsregels, het beschermen van bedrijfsinformatie, het voorkomen van ongepast gedrag of het voldoen aan wettelijke verplichtingen.

Wat zegt de Gegevensbeschermingsautoriteit?[2]

De Gegevensbeschermingsautoriteit (hierna: GBA) is het onafhankelijke toezichtsorgaan dat toezicht houdt op alles wat te maken heeft met de verwerking van persoonsgegevens onder de GDPR en kan aanzien worden als de privacy waakhond van België.

Samengevat hebben werkgevers volgens de GBA in beginsel het recht om toezicht te houden op de elektronische communicatie die werknemers verrichten met de middelen die hen voor hun werk ter beschikking zijn gesteld. Dit onder voorwaarde dat bepaalde principes zoals het recht op privacy en vertrouwelijkheid van de correspondentie worden gewaarborgd. Om de privacy van de werknemer te beschermen, moet de werkgever rekening houden met de volgende basisprincipes:

Finaliteitsbeginsel

De werkgever moet steeds een rechtmatig doel nastreven zoals bijvoorbeeld de opvolging van de professionele correspondentie met cliënteel. Een werkgever mag dus niet uit nieuwsgierigheid controles uitvoeren, mar wel om de belangen van het bedrijf te vrijwaren.

Evenredigheidsbeginsel

Ten tweede moet de werkgever de controle beperken tot het strikt noodzakelijke. De controle moet noodzakelijk zijn om die doelstelling te bereiken. Als een e-mail bestemd is voor de personeelsdienst, is het niet de bedoeling dat andere afdelingen deze e-mail kunnen lezen. Dit betekent dat de gegevensverzameling in principe globaal moet blijven en dat individualisering (dus de identificatie van een specifieke werknemer) in principe niet is toegestaan. De werkgever mag daarbij geen toegang hebben tot persoonlijke e-mails van de werknemer, tenzij de werknemer deze gebruikt voor zakelijke doeleinden.

Transparantiebeginsel

Ten slotte moet de werknemer op de hoogte worden gebracht van een eventuele elektronische controle en van de wijze waarop deze wordt uitgevoerd. De GBA beveelt aan deze informatie te verspreiden via het arbeidsreglement, maar een transparant ICT-beleid, een specifieke bepaling in de individuele arbeidsovereenkomst of een cao behoren ook tot de mogelijkheden. Een werkgever mag nooit achter de rug van zijn medewerkers controles uitvoeren.

Wat zegt de GDPR[3]?

Overeenkomstig artikel 6 van de General Data Protection Regulation (hierna: GDPR) dient elke verwerking van persoonsgegevens te steunen op een rechtmatigheidsgrond. Het wettelijk recht van de werkgever om gezag uit te oefenen, kan een rechtmatigheidsgrond zijn voor de werkgever om elektronisch toezicht uit te oefenen op internet en e-mailverkeer van haar werknemers. De toestemming van de werknemer kan volgens de GBA dan weer niet als wettelijke basis dienen aangezien de werknemer zich noodzakelijkerwijs in een ondergeschikte positie bevindt ten opzichte van zijn werkgever, en dus geen toestemming kan geven uit vrije wil.

CAO nr. 81[4]

Het doel van deze CAO nr. 81 is ervoor te zorgen dat de privacy van de werknemer wordt gerespecteerd wanneer de werkgever gegevens van de elektronische netwerkcommunicatie verzamelt om die te controleren en omvat de drie grondbeginselen van de privacywetgeving, zoals hierboven besproken, het finaliteits-, evenredigheids- en transparantiebeginsel.

Daarnaast speelt nog het principe van individualisering, dat stelt dat de controle van de werkgever normaal gesproken alleen kan op een globale en niet op een individuele manier. In bepaalde gevallen kan de werkgever echter controles uitvoeren bij een bepaalde werknemer, namelijk:

Preventie van illegale of lasterlijke feiten, feiten in strijd met de goede zeden of feiten die de waardigheid van anderen kunnen aantasten;

Bescherming van de economische, commerciële en financiële belangen van de onderneming waaraan een vertrouwelijkheidsaspect is verbonden;

Veiligheid en/of de goede technische werking van de netwerkcomputersystemen van de onderneming en de fysieke bescherming van de installaties van de onderneming.

Conclusie

De regeling die de werkgever in staat stelt legaal toegang te krijgen tot de elektronische communicatie van zijn werknemer is vatbaar voor interpretatie. Het recht op privacy van de werknemer en het recht op controle van de werkgever dienen telkens tegen elkaar te worden afgewogen. Volgens de GBA heeft de werkgever onder bepaalde voorwaarden het recht om toezicht te houden op de elektronische communicatie van haar werknemers. Hierbij dienen het finaliteits-, evenredigheids-, en transparantiebeginsel steeds in acht te worden genomen.

Het is raadzaam om specifiek juridisch advies in te winnen bij een professional op het gebied van privacyrecht om te begrijpen hoe de regels specifiek van toepassing zijn op uw situatie. Studio Legale Advocaten beschikt over drie erkende DPO’s die gespecialiseerd zijn in het privacyrecht en u hierbij kunnen begeleiden.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

Juridische bronnen:

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail ;

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Media links:

https://www.tijd.be/netto/analyse/werk/mag-uw-werkgever-uw-e-mailverkeer-controleren/10460465.html ;

https://www.standaard.be/cnt/dmf20230414_95708300 ;

https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html ;

[1]https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html

[2]https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail

[3] VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[4] Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

PDF

Betreft

Het verwerken van gegevens over een vakbondslidmaatschap van haar werknemers door een ziekenhuis wordt door een vakbondsafgevaardigde niet goed onthaald.

Context

Verwerking vakbondsgegevens door een ziekenhuis

Rechtsgrond

Artikel 5.1.b) GDPR: “Persoonsgegevens moeten:

(…)

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig.”

Artikel 7.3 GDPR: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.”

Artikel 9.2.a) GDPR: “Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven.”

Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

Feiten

Een vakbondsafgevaardigde van vakbond A vraagt op een gegeven moment het advies van de Gegevensbeschermingsautoriteit (GBA) in verband met het door zijn werkgever – zijnde een ziekenhuis – rechtstreeks op het salaris inhouden van de vakbondsbijdrage van de leden van vakbond B. De inhouding zou gebeuren onder onduidelijke omstandigheden en zonder daarbij de wil van de werknemers en de vertrouwelijkheid van hun gegevens te eerbiedigen. Hij stelt zich in het algemeen de vraag waarom een werkgever gegevens over het vakbondslidmaatschap van zijn werknemers zou verzamelen.

Na mailverkeer hierover met vraag voor advies naar de GBA dient de vakbondsafgevaardigde een klacht in en de Inspectiedienst van de GBA wordt gevat. Niet veel later laat de vakbondsafgevaardigde weten aan de Inspectiedienst dat het ziekenhuis een einde heeft gesteld aan het systeem van inhouding op het salaris. Deze beslissing kwam er op basis van het advies van haar functionaris voor gegevensbescherming (DPO).

Voorafgaand advies door GBA

We verwijzen naar de vorige beslissing nr. 71/2020 waarin het Marktenhof tussenkwam en reeds de GBA op de vingers tikte voor het feit dat mogelijks zowel mailverkeer en adviesverlening, als latere beoordeling van een klacht kan gebeuren door dezelfde personeelsleden van de GBA vatbaar is voor kritiek en eventueel sanctie.

In huidige beslissing ontbreekt meer diepgaande informatie om een concrete beoordeling toe te laten. Dit blijft toch een aandachtspunt.

De toestemming als rechtmatigheidsgrond

In principe is de verwerking van gegevens over een vakbondslidmaatschap verboden (artikel 9.1 GDPR). Lid 2 van datzelfde artikel voorziet echter in een aantal uitzonderingen, waaronder de “uitdrukkelijke toestemming van de betrokkene voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden”.

Volgens artikel 4.11) van de GDPR dient toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. Artikel 9.2.a) voegt daar nog aan toe dat voor een gegevensverwerking in verband met vakbondslidmaatschap de toestemming eveneens uitdrukkelijk moet zijn.

(i) Vrije karakter van de toestemming

De toestemming werd bij schriftelijke machtiging gegeven als een door de werkgever aan de werknemer verleende faciliteit. Echter dient bij een arbeidsverhouding steeds extra aandacht te worden besteed aan het vrije karakter van de toestemming. Bij wijze van uitzondering kan de toestemming van de werknemer wel worden beschouwd als geldig verleend, wanneer het al dan niet toestemming geven geen negatieve gevolgen kan hebben voor zijn persoon. In casu had het ziekenhuis geen voordeel bij de toestemming van de werknemer waardoor er van mag worden uitgegaan dat de werknemer zijn toestemming vrijelijk heeft gegeven.

(ii) Specifieke karakter van de toestemming

Door het feit dat aan elke werknemer werd gevraagd een individueel machtigingsformulier in te vullen is voldaan aan de voorwaarde van het specifieke karakter van de toestemming. De machtiging vraagt immers de toestemming van de werknemer voor één gegevensverwerking, namelijk de verwerking die is verbonden aan de rechtstreeks inhouding op het salaris van de vakbondsbijdrage.

(iii) Geïnformeerde karakter van de toestemming

Om toestemming met kennis van zaken te geven, moet de betrokkene onder meer de volgende informatie hebben ontvangen:

– de identiteit van de verwerkingsverantwoordelijke;

– het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;

– welk(e) (soort) gegevens worden verzameld en gebruikt;

– het bestaan van het recht om zijn toestemming in te trekken.

De eerste drie elementen worden relatief duidelijk op het verstrekte machtigingsformulier vermeld, maar aangezien nergens melding wordt gemaakt van het feit dat de werknemer zijn toestemming te allen tijde kan intrekken is niet voldaan aan artikel 7.3 van de GDPR waardoor de toestemming niet kan worden beschouwd als op geïnformeerde wijze gegeven. Hierdoor werd artikel 9.2.a) GDPR dan ook niet nageleefd.

(iv) Uitdrukkelijke karakter van de toestemming

Aan deze voorwaarde werd voldaan aangezien de door de betrokkene ondertekende schriftelijke machtiging op uitdrukkelijke wijze bepaalt welke gegevensverwerking zal worden uitgevoerd.

Doeleinde van de verwerking

Wat betreft het doeleinde van de verwerking bepaalt artikel 5.1.b) j° 24.1 GDPR dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Aangezien het doeleinde van de verwerking slechts duidelijk werd na het verdere onderzoek en verzoek door inlichtingen door de Geschillenkamer, kan dit niet beschouw worden als zijnde uitdrukkelijk vermeld en besluit de Geschillenkamer dat de verwerkingsverantwoordelijke artikel 5.1.b) j° 24.1 GDPR heeft geschonden.

Uitspraak

In verband met de effectieve uitspraak in het beschikkend gedeelte lijkt ons dat er een materiële vergissing gebeurde in de beslissing. Er wordt voorheen immers duidelijk vermeld in de beslissing dat:

er een schending van de artikelen 5.1.b) j° artikel 24.1, en artikel 9.2.a) j° artikel 7.3 van de GDPR heeft plaatsgevonden;
het niet nodig is om een van de maatregelen te nemen aangezien de verwerkingsverantwoordelijke om advies heeft gevraagd aan zijn functionaris voor gegevensbescherming en dat hij heeft besloten het advies op te volgen in die zin dat er aan de verwerking definitief een einde werd gesteld op 30 juni 2019, waardoor hij bewijst dat de verplichtingen die voortvloeien uit de GDPR ernstig zijn genomen.

Echter vermeldt het beschikkend gedeelte dat er geen schending van voormelde artikelen heeft plaatsgevonden. Aangezien evenwel nog steeds vermeld wordt bijkomend dat het toch niet nodig is om een van de maatregelen als bedoeld in artikel 100 §1 WOG te nemen, blijkt volgens ons duidelijk dat dit een materiële vergissing betreft.

Onze mening

Uit deze beslissing blijkt dat de voorwaarden voor het geven van een geldige toestemming zeer strikt worden toegepast. Hoewel immers de toestemming geacht wordt vrij te zijn gegeven, ondanks de werknemer-werkgever relatie en deze uitdrukkelijk werd gegeven, wordt alsnog een schending vastgesteld omwille van het gebrek aan voldoende informatie over de mogelijkheid tot intrekking van de toestemming te allen tijde.

In het kader van het belangrijke doelbindingsbeginsel, wordt eveneens strikt toegezien op het feit of het doeleinde van de verwerking vermeld uitdrukkelijk vermeld wordt, wat in deze eveneens niet het geval was aangezien slechts na onderzoek duidelijk werd wat het doeleinde is.

O.i. houdt de geschillenkamer terecht rekening met het feit dat duidelijk blijkt dat het ziekenhuis op ernstige wijze bezig is met GDPR in haar organisatie. Het won immers advies in te bij haar DPO en volgde dit advies ook op door middel van de definitieve stopzetting van de verwerking. Dit toont aan dat de GDPR serieus wordt genomen, wat in deze zaak ook heeft geleid tot uitblijven van enige sanctie. Accountability is namelijk een zeer belangrijk beginsel in het kader van de GDPR.

Integrale beslissing

Beslissing 72/2020