Tag: GEGEVENSBESCHERMINGSAUTORITEIT
MAG U ALS WERKGEVER HET E-MAILVERKEER VAN UW WERKNEMERS CONTROLEREN?

Diverse media berichtten over een strafklacht tegen ING België.[1] De kredietinstelling zou het e-mailverkeer van zo’n 2.000 werknemers hebben gecontroleerd. Dit roept de vraag op of men als werkgever überhaupt het e-mailverkeer van werknemers mag controleren. Mag dit of gelden er specifieke voorwaarden? Wij zochten het voor u uit.

Privacyrecht vs. controlerecht

Het recht op privacy is een grondrecht waardoor het de werkgever principieel niet toegestaan is om uw e-mailverkeer te controleren. Inbreuken hierop zijn m.a.w. strafbaar. Maar op het principieel verbod gelden weliswaar enkele uitzonderingen waardoor in uitzonderlijke omstandigheden en onder strikte voorwaarden het de werkgever wel toegelaten is om de e-mails van haar werknemers te checken. De werkgever beschikt van zijn kant namelijk over een controlerecht en het zijn deze twee principes die in de praktijk steeds in de weegschaal moeten worden gelegd om een juiste inschatting te maken over de toelaatbaarheid om het e-mailverkeer van de werknemer na te gaan.

Werkgevers kunnen verschillende redenen hebben om e-mailverkeer te controleren, zoals het handhaven van de bedrijfsbeleidsregels, het beschermen van bedrijfsinformatie, het voorkomen van ongepast gedrag of het voldoen aan wettelijke verplichtingen.

Wat zegt de Gegevensbeschermingsautoriteit?[2]

De Gegevensbeschermingsautoriteit (hierna: GBA) is het onafhankelijke toezichtsorgaan dat toezicht houdt op alles wat te maken heeft met de verwerking van persoonsgegevens onder de GDPR en kan aanzien worden als de privacy waakhond van België.

Samengevat hebben werkgevers volgens de GBA in beginsel het recht om toezicht te houden op de elektronische communicatie die werknemers verrichten met de middelen die hen voor hun werk ter beschikking zijn gesteld. Dit onder voorwaarde dat bepaalde principes zoals het recht op privacy en vertrouwelijkheid van de correspondentie worden gewaarborgd. Om de privacy van de werknemer te beschermen, moet de werkgever rekening houden met de volgende basisprincipes:

  • Finaliteitsbeginsel

De werkgever moet steeds een rechtmatig doel nastreven zoals bijvoorbeeld de opvolging van de professionele correspondentie met cliënteel. Een werkgever mag dus niet uit nieuwsgierigheid controles uitvoeren, mar wel om de belangen van het bedrijf te vrijwaren.

  • Evenredigheidsbeginsel

Ten tweede moet de werkgever de controle beperken tot het strikt noodzakelijke. De controle moet noodzakelijk zijn om die doelstelling te bereiken. Als een e-mail bestemd is voor de personeelsdienst, is het niet de bedoeling dat andere afdelingen deze e-mail kunnen lezen. Dit betekent dat de gegevensverzameling in principe globaal moet blijven en dat individualisering (dus de identificatie van een specifieke werknemer) in principe niet is toegestaan. De werkgever mag daarbij geen toegang hebben tot persoonlijke e-mails van de werknemer, tenzij de werknemer deze gebruikt voor zakelijke doeleinden.

  • Transparantiebeginsel

Ten slotte moet de werknemer op de hoogte worden gebracht van een eventuele elektronische controle en van de wijze waarop deze wordt uitgevoerd. De GBA beveelt aan deze informatie te verspreiden via het arbeidsreglement, maar een transparant ICT-beleid, een specifieke bepaling in de individuele arbeidsovereenkomst of een cao behoren ook tot de mogelijkheden. Een werkgever mag nooit achter de rug van zijn medewerkers controles uitvoeren.

Wat zegt de GDPR[3]?

Overeenkomstig artikel 6 van de General Data Protection Regulation (hierna: GDPR) dient elke verwerking van persoonsgegevens te steunen op een rechtmatigheidsgrond. Het wettelijk recht van de werkgever om gezag uit te oefenen, kan een rechtmatigheidsgrond zijn voor de werkgever om elektronisch toezicht uit te oefenen op internet en e-mailverkeer van haar werknemers. De toestemming van de werknemer kan volgens de GBA dan weer niet als wettelijke basis dienen aangezien de werknemer zich noodzakelijkerwijs in een ondergeschikte positie bevindt ten opzichte van zijn werkgever, en dus geen toestemming kan geven uit vrije wil.

CAO nr. 81[4]

Het doel van deze CAO nr. 81 is ervoor te zorgen dat de privacy van de werknemer wordt gerespecteerd wanneer de werkgever gegevens van de elektronische netwerkcommunicatie verzamelt om die te controleren en omvat de drie grondbeginselen van de privacywetgeving, zoals hierboven besproken, het finaliteits-, evenredigheids- en transparantiebeginsel.

Daarnaast speelt nog het principe van individualisering, dat stelt dat de controle van de werkgever normaal gesproken alleen kan op een globale en niet op een individuele manier. In bepaalde gevallen kan de werkgever echter controles uitvoeren bij een bepaalde werknemer, namelijk:

  • Preventie van illegale of lasterlijke feiten, feiten in strijd met de goede zeden of feiten die de waardigheid van anderen kunnen aantasten;

  • Bescherming van de economische, commerciële en financiële belangen van de onderneming waaraan een vertrouwelijkheidsaspect is verbonden;

  • Veiligheid en/of de goede technische werking van de netwerkcomputersystemen van de onderneming en de fysieke bescherming van de installaties van de onderneming.

Conclusie

De regeling die de werkgever in staat stelt legaal toegang te krijgen tot de elektronische communicatie van zijn werknemer is vatbaar voor interpretatie. Het recht op privacy van de werknemer en het recht op controle van de werkgever dienen telkens tegen elkaar te worden afgewogen. Volgens de GBA heeft de werkgever onder bepaalde voorwaarden het recht om toezicht te houden op de elektronische communicatie van haar werknemers. Hierbij dienen het finaliteits-, evenredigheids-, en transparantiebeginsel steeds in acht te worden genomen.

Het is raadzaam om specifiek juridisch advies in te winnen bij een professional op het gebied van privacyrecht om te begrijpen hoe de regels specifiek van toepassing zijn op uw situatie. Studio Legale Advocaten beschikt over drie erkende DPO’s die gespecialiseerd zijn in het privacyrecht en u hierbij kunnen begeleiden.

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

Juridische bronnen:

  • VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);

  • Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Media links:

[1]https://www.tijd.be/ondernemen/banken/strafklacht-tegen-ing-en-toplui-voor-inkijken-e-mails-personeel/10460323.html

[2]https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/privacy-op-de-werkplek/toezicht-van-de-werkgever/elektronisch-toezicht-op-internet-en-e-mail

[3] VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[4] Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

VIJF JAAR GDPR!

Vandaag blaast de General Data Protection Regulation (hierna: GDPR)[1] vijf kaarsjes uit. Naar aanleiding van dit jubileum zetten we graag onze drie erkende DPO’s in de kijker die dag in, dag uit bezig zijn met het recht op privacy en gegevensbescherming. Daarnaast willen wij u graag ook warm maken voor onze GDPR websites[2] waarin u alle relevante informatie vindt over de GDPR met een wekelijkse update over de rechtspraak van de Gegevensbeschermingsautoriteit.

Drie erkende DPO’s

Een Data Protection Officer (hierna: DPO) is een functionaris voor gegevensbescherming die in principe toezicht houdt over hoe een onderneming persoonsgegevens verwerkt. De DPO zal de onderneming informeren en adviseren zodat zij te allen tijde compliant zijn met principes van GDPR. Daarnaast fungeert de DPO als eerste aanspreekpunt voor de Gegevensbeschermingsautoriteit.

STUDIO | LEGALE is reeds enkele jaren de vaste advocaat van verschillende ondernemingen in verband met privacy aangelegenheden en de GDPR. STUDIO | LEGALE beschikt over 3 gecertificeerde Data Protection Officers (DPO) die verschillende ondernemingen bijstaan inzake de tenuitvoerlegging van de GDPR.

  • Joost Peeters

Meester Joost Peeters, medeoprichter en partner bij STUDIO | LEGALE vergaarde  een brede waaier aan expertise in alles wat te maken heeft me het recht op privacy, in het bijzonder de GDPR en treedt hij op als functionaris voor gegevensbescherming voor verschillende ondernemingen. In 2018 behaalde Mr. Joost Peeters het diploma van DPO aan het Data Protection Institute (hierna: DPI).

  • Ruben Brosens

Meester Ruben Brosens behaalde in 2021 het certificaat van DPO bij het DPI. De materies inzake privacy en databescherming zijn intussen voor Mr. Brosens onderdeel geworden van een doorgedreven knowhow. Een expertise die in de hedendaagse digitale maatschappij uiterst relevant is geworden.

  • Yannick Lauwers

Meester Lauwers behaalde tevens in 2021 het certificaat van DPO aan het DPI. Tijdens zijn studies ontwikkelde hij een uitgebreide interesse in verschillende rechtstakken zoals het recht op privacy en in het bijzonder de GDPR. Intussen begeleide hij verschillende ondernemingen met als doel volledig compliant te werken conform de principes van de GDPR.

Websites

Naast drie erkende DPO’s beschikt STUDIO | LEGALE ook over twee websites die volledig gewijd zijn aan het reilen en zeilen van de GDPR:

Op onze website leggen wij kort uit wat de GDPR net inhoudt, voor wie zij van toepassing is, wat de belangrijkste begrippen zijn, wat uw rechten zijn als betrokkene, wat u moet doen als u te maken krijgt met een datalek, maar ook een stappenplan naar een GDPR conforme organisatie. Ook worden er regelmatig privacy gerelateerde artikels gepubliceerd door STUDIO | LEGALE.

Tot slot publiceren wij ook frequent een samenvatting van een beslissing van de Gegevensbeschermingsautoriteit (GBA). De GBA is voor België de toezichthoudende autoriteit op het vlak van gegevensbescherming. Op die manier blijft onze kennis steeds up to date en zijn wij steeds op de hoogte van de laatste nieuwe ontwikkelingen in het privacy landschap.

Indien u na het lezen nog vragen hebt, aarzel niet om ons te contacteren via [email protected] of 03 216 70 70.

 

[1] Ook wel bekend als de Algemene Verordening Gegevensbescherming (hierna AVG): Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

[2] https://studio-legale.com/website-vakgebied/studio-gdpr/ & https://www.generaldataprotection.be/

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!