Betreft
Een consultant legt een klacht neer tegen het IT-adviesbureau waarbij hij werkte omdat hem de volledige inzage tot zijn persoonsgegevens werd geweigerd.
Context
Verzoek tot inzage van werknemer bij werkgever in de IT-adviessector
Rechtsgrond
Feiten
De klager trad in juni 2008 als werknemer in dienst bij de verweerder die actief is in de IT-adviessector. Hij vervulde later de functie van senior consultant. Vanaf 2015 was de consultant regelmatig afwezig. In 2016 wordt hij verkozen tot vertegenwoordiger van de werknemers. Een jaar later start zijn werkgever, het IT-adviesbureau een procedure voor de arbeidsrechtbank omdat de consultant informatie op een privéblog zou bekendmaken die door het IT-adviesbureau nog niet officieel was gemaakt. Hiermee weigerde hij te stoppen, ondanks het verzoek hiertoe.
Het arbeidshof oordeelde in haar arrest van 21 juni 2018 dat het IT-adviesbureau de consultant niet op ernstige gronden kan ontslaan. De consultant zette zijn functie vanaf 27 juni 2018 weer verder. Hij richtte vervolgens op 12 juli 2018 een verzoek tot uitoefening van zijn recht van inzage en/of kopie van alle over hem geregistreerde persoonsgegevens.
De consultant was van oordeel dat hier ontoereikend op werd geantwoord en stelde op 2 oktober 2018 een klacht in. Hierbij wees hij er nog op dat door het IT-adviesbureau foto’s van haar werknemers nam op bedrijfsevenementen en deze zomaar op het intranet van het bedrijf publiceerde, zonder hiervoor toestemming te vragen.
Op 18 januari 2019 zou de arbeidsrelatie tussen de partijen beëindigd zijn via een transactieovereenkomst.
Beoordeling
De Geschillenkamer benadrukt dat het niet haar rol is om andere rechtbanken te vervangen bij de uitoefening van hun bevoegdheden, hier doelend op het arbeidsrecht. Zij spreekt zich dan ook enkel uit over de naleving van de regelgeving die van toepassing is op de gegevensverwerking en niet over bijvoorbeeld de naleving van de transactieovereenkomst tussen de partijen.
Volgens artikel 15.1 van de GDPR heeft de betrokkene recht op inzage. Wat betekent dat deze van de verwerkingsverantwoordelijke verduidelijking mag krijgen of er persoonsgegevens van hem verwerkt worden. Indien dat het geval is, heeft de betrokkene het recht om hiervan inzage te verkrijgen en om bepaalde bijkomende informatie over die verwerking te bekomen (artikel 15.1 a) – h) GDPR) zoals bijvoorbeeld het doeleinde van de verwerking van de gegevens en de eventuele ontvangers van de gegevens, evenals informatie over het bestaan van zijn rechten, waaronder het recht om rectificatie of wissing van zijn gegevens te vragen, of om een klacht bij de GBA in te dienen. Zie meer in detail ons eerder artikel over het recht op inzage hier.
Concreet vroeg de consultant aan het IT-adviesbureau om alle geregistreerde persoonsgegevens over hem mee te delen, en in het bijzonder wenste hij informatie over de redenen, doeleinden, bewaartermijnen, … voor ieder bewaard persoonsgegeven. Hij maakte ook duidelijk dat zijn verzoek betrekking had op inzage en kopie van zijn persoonsgegevens, namelijk:
- alle evaluaties die op hem betrekking hebben;
- alle foto's waarop hij zou kunnen worden geïdentificeerd;
- een kopie van de e-mails in zijn mailbox;
- elke notitie, aantekening, opmerking die deel uitmaakt van zijn personeelsdossier;
- de hem betreffende IT-logs;
- een overzicht van zijn persoonsgegevens, met inbegrip van de doeleinden van de verwerking en de ontvangers van de gegevens;
- de inhoud van de persoonsgegevens over hem die door de verweerder worden verwerkt;
- cv's die hem betreffen;
- zijn door de verweerder geregistreerde pasfoto's.
Meerdere malen stuurde de consultant dat hij het antwoord onvolledig vond.
Uiteindelijk volgt het volgende antwoord van het IT-adviesbureau: "Een kopie van alle persoonsgegevens waartoe jij geen toegang hebt en waarvan we je een kopie moeten geven, is naar jou verstuurd. Dit punt is dus wat ons betreft afgesloten”.
Het IT-adviesbureau betwist niet dat geweigerd werd om gevolg te geven aan het verzoek om inzage zoals door de klager in zijn e-mail van 24 september 2018 is gepreciseerd.
Wat betreft de weigering van het recht op inzage van de aantekeningen en opmerkingen in het personeelsdossier van de consultant baseer het IT-adviesbureau zich op artikel 15.4 GDPR. De inzage van die gegevens zou een inbreuk vormen op de bescherming van de persoonsgegevens van de voormalige leidinggevenden en de personeelsverantwoordelijke die auteur zijn van die aantekeningen en opmerkingen.
De Geschillenkamer spreekt niet tegen dat dergelijke aantekeningen persoonsgegevens van de leidinggevenden en personeelsverantwoordelijke betreffen.
Er moet een afweging gemaakt worden tussen het recht op inzage van de consultant en de rechten en vrijheden van deze leidinggevenden en personeelsverantwoordelijke.Die afweging mag er wel niet toe leden dat geen enkele informatie wordt meegedeeld.
Het IT-adviesbureau had de persoonsgegevens van anderen kunnen anonimiseren om zo correct gevolg te geven aan het verzoek tot inzage.
Door te weigeren gevolg te geven aan het verzoek van de consultant om inzage van de aantekeningen in zijn personeelsdossier, werden de artikelen 15.1 en 15.3 GDPR geschonden.
Wat betreft de weigering om inzage te leveren van de IT-logs m.b.t. de consultant wordt dan weer géén schending vastgesteld door de Geschillenkamer aangezien dit onevenredige verplichtingen en buitensporige lasten aan het IT-adviesbureau zou opleggen aangezien hiervoor een periode van 2008 tot 2019 helemaal zou moeten doorzocht worden.
Met betrekking tot de beweerde onrechtmatige weigering tot inzage van de evaluaties wordt dit ook door de Geschillenkamer verworpen aangezien er sinds 2013 geen evaluatie meer was geweest omwille van de regelmatige afwezigheid van de consultant.
Vervolgens kan het IT-adviesbureau zich op het zakengeheim beroepen om geen inzage toe te staan in de e-mailcorrespondentie. Hiervoor wordt wel benadrukt dat het zakengeheim restrictief geïnterpreteerd moet worden steeds concreet per geval.
Tot slot wordt het argument omtrent de recht om kopie te krijgen van foto’s waarop de consultant identificeerbaar zou zijn, afgewezen aangezien hij geen bewijs leverde van het bestaan of de verspreiding van dergelijke foto’s van hem.
Uitspraak
Aangezien de aantekeningen in personeelsdossier reeds verwijderd werden kan een verplichting tot uitvoering van het recht op inzage niet meer opgelegd worden en wordt volstaan met het IT-adviesbureau op te leggen de Geschillenkamer een verklaring op eer toe te zenden van het feit dat de aantekeningen in het personeelsdossier over consultant zijn verwijderd na zijn verzoek om inzage.
Daarnaast wordt opgelegd om de verwerking in verband met de aantekeningen in de personeelsdossiers van het personeel in overeenstemming te brengen met artikel 15 van de GDPR.
Onze mening
Wederom is duidelijk dat een correct gevolg geven aan de uitoefening van de rechten door betrokkenen een zeer cruciaal aspect is van de GDPR.
Uit deze beslissing wordt duidelijk dat niet zomaar aan de naleving van het recht op inzage kan worden ontsnapt, ook al is dit omwille van de juiste intenties (beschermen rechten en vrijheden van anderen). Het anonimiseren had in dit verband kunnen volstaan als bescherming van deze rechten en vrijheden van anderen en zo zou een evenwichtige balans gevonden zijn met het recht op inzage.
De Geschillenkamer overweegt terecht dat dit de eerst sanctie van het IT-adviesbureau was en legt geen boete op.
Beslissing
Beslissing 15/2021