Betreft
Het verwerken van gegevens over een vakbondslidmaatschap van haar werknemers door een ziekenhuis wordt door een vakbondsafgevaardigde niet goed onthaald.
Context
Verwerking vakbondsgegevens door een ziekenhuis
Rechtsgrond
Artikel 5.1.b) GDPR: “Persoonsgegevens moeten:
(…)
- b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig.”
Artikel 7.3 GDPR: “De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.”
Artikel 9.2.a) GDPR: “Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
- Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
- a) de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven.”
Artikel 24.1 GDPR: “Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”
Feiten
Een vakbondsafgevaardigde van vakbond A vraagt op een gegeven moment het advies van de Gegevensbeschermingsautoriteit (GBA) in verband met het door zijn werkgever – zijnde een ziekenhuis – rechtstreeks op het salaris inhouden van de vakbondsbijdrage van de leden van vakbond B. De inhouding zou gebeuren onder onduidelijke omstandigheden en zonder daarbij de wil van de werknemers en de vertrouwelijkheid van hun gegevens te eerbiedigen. Hij stelt zich in het algemeen de vraag waarom een werkgever gegevens over het vakbondslidmaatschap van zijn werknemers zou verzamelen.
Na mailverkeer hierover met vraag voor advies naar de GBA dient de vakbondsafgevaardigde een klacht in en de Inspectiedienst van de GBA wordt gevat. Niet veel later laat de vakbondsafgevaardigde weten aan de Inspectiedienst dat het ziekenhuis een einde heeft gesteld aan het systeem van inhouding op het salaris. Deze beslissing kwam er op basis van het advies van haar functionaris voor gegevensbescherming (DPO).
Voorafgaand advies door GBA
We verwijzen naar de vorige beslissing nr. 71/2020 waarin het Marktenhof tussenkwam en reeds de GBA op de vingers tikte voor het feit dat mogelijks zowel mailverkeer en adviesverlening, als latere beoordeling van een klacht kan gebeuren door dezelfde personeelsleden van de GBA vatbaar is voor kritiek en eventueel sanctie.
In huidige beslissing ontbreekt meer diepgaande informatie om een concrete beoordeling toe te laten. Dit blijft toch een aandachtspunt.
De toestemming als rechtmatigheidsgrond
In principe is de verwerking van gegevens over een vakbondslidmaatschap verboden (artikel 9.1 GDPR). Lid 2 van datzelfde artikel voorziet echter in een aantal uitzonderingen, waaronder de "uitdrukkelijke toestemming van de betrokkene voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden".
Volgens artikel 4.11) van de GDPR dient toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. Artikel 9.2.a) voegt daar nog aan toe dat voor een gegevensverwerking in verband met vakbondslidmaatschap de toestemming eveneens uitdrukkelijk moet zijn.
(i) Vrije karakter van de toestemming
De toestemming werd bij schriftelijke machtiging gegeven als een door de werkgever aan de werknemer verleende faciliteit. Echter dient bij een arbeidsverhouding steeds extra aandacht te worden besteed aan het vrije karakter van de toestemming. Bij wijze van uitzondering kan de toestemming van de werknemer wel worden beschouwd als geldig verleend, wanneer het al dan niet toestemming geven geen negatieve gevolgen kan hebben voor zijn persoon. In casu had het ziekenhuis geen voordeel bij de toestemming van de werknemer waardoor er van mag worden uitgegaan dat de werknemer zijn toestemming vrijelijk heeft gegeven.
(ii) Specifieke karakter van de toestemming
Door het feit dat aan elke werknemer werd gevraagd een individueel machtigingsformulier in te vullen is voldaan aan de voorwaarde van het specifieke karakter van de toestemming. De machtiging vraagt immers de toestemming van de werknemer voor één gegevensverwerking, namelijk de verwerking die is verbonden aan de rechtstreeks inhouding op het salaris van de vakbondsbijdrage.
(iii) Geïnformeerde karakter van de toestemming
Om toestemming met kennis van zaken te geven, moet de betrokkene onder meer de volgende informatie hebben ontvangen:
- de identiteit van de verwerkingsverantwoordelijke;
- het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;
- welk(e) (soort) gegevens worden verzameld en gebruikt;
- het bestaan van het recht om zijn toestemming in te trekken.
De eerste drie elementen worden relatief duidelijk op het verstrekte machtigingsformulier vermeld, maar aangezien nergens melding wordt gemaakt van het feit dat de werknemer zijn toestemming te allen tijde kan intrekken is niet voldaan aan artikel 7.3 van de GDPR waardoor de toestemming niet kan worden beschouwd als op geïnformeerde wijze gegeven. Hierdoor werd artikel 9.2.a) GDPR dan ook niet nageleefd.
(iv) Uitdrukkelijke karakter van de toestemming
Aan deze voorwaarde werd voldaan aangezien de door de betrokkene ondertekende schriftelijke machtiging op uitdrukkelijke wijze bepaalt welke gegevensverwerking zal worden uitgevoerd.
Doeleinde van de verwerking
Wat betreft het doeleinde van de verwerking bepaalt artikel 5.1.b) j° 24.1 GDPR dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt. Aangezien het doeleinde van de verwerking slechts duidelijk werd na het verdere onderzoek en verzoek door inlichtingen door de Geschillenkamer, kan dit niet beschouw worden als zijnde uitdrukkelijk vermeld en besluit de Geschillenkamer dat de verwerkingsverantwoordelijke artikel 5.1.b) j° 24.1 GDPR heeft geschonden.
Uitspraak
In verband met de effectieve uitspraak in het beschikkend gedeelte lijkt ons dat er een materiële vergissing gebeurde in de beslissing. Er wordt voorheen immers duidelijk vermeld in de beslissing dat:
- er een schending van de artikelen 5.1.b) j° artikel 24.1, en artikel 9.2.a) j° artikel 7.3 van de GDPR heeft plaatsgevonden;
- het niet nodig is om een van de maatregelen te nemen aangezien de verwerkingsverantwoordelijke om advies heeft gevraagd aan zijn functionaris voor gegevensbescherming en dat hij heeft besloten het advies op te volgen in die zin dat er aan de verwerking definitief een einde werd gesteld op 30 juni 2019, waardoor hij bewijst dat de verplichtingen die voortvloeien uit de GDPR ernstig zijn genomen.
Echter vermeldt het beschikkend gedeelte dat er geen schending van voormelde artikelen heeft plaatsgevonden. Aangezien evenwel nog steeds vermeld wordt bijkomend dat het toch niet nodig is om een van de maatregelen als bedoeld in artikel 100 §1 WOG te nemen, blijkt volgens ons duidelijk dat dit een materiële vergissing betreft.
Onze mening
Uit deze beslissing blijkt dat de voorwaarden voor het geven van een geldige toestemming zeer strikt worden toegepast. Hoewel immers de toestemming geacht wordt vrij te zijn gegeven, ondanks de werknemer-werkgever relatie en deze uitdrukkelijk werd gegeven, wordt alsnog een schending vastgesteld omwille van het gebrek aan voldoende informatie over de mogelijkheid tot intrekking van de toestemming te allen tijde.
In het kader van het belangrijke doelbindingsbeginsel, wordt eveneens strikt toegezien op het feit of het doeleinde van de verwerking vermeld uitdrukkelijk vermeld wordt, wat in deze eveneens niet het geval was aangezien slechts na onderzoek duidelijk werd wat het doeleinde is.
O.i. houdt de geschillenkamer terecht rekening met het feit dat duidelijk blijkt dat het ziekenhuis op ernstige wijze bezig is met GDPR in haar organisatie. Het won immers advies in te bij haar DPO en volgde dit advies ook op door middel van de definitieve stopzetting van de verwerking. Dit toont aan dat de GDPR serieus wordt genomen, wat in deze zaak ook heeft geleid tot uitblijven van enige sanctie. Accountability is namelijk een zeer belangrijk beginsel in het kader van de GDPR.
Integrale beslissing
