GDPR breidt informatieplicht verder uit
Hoewel de informatieverplichting reeds bestond, is deze onder de GDPR verder uitgebreid.
De informatieverplichting houdt in dat de werknemer op wie de persoonsgegevens betrekking hebben, ten laatste op het moment waarop deze gegevens verkregen zijn, over de nodige inlichtingen beschikt omtrent[1]:
- De naam en het adres van de verantwoordelijke voor de verwerking, dit wil zeggen de werkgever
- In voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming (DPO)
- Of de verstrekking van persoonsgegevens wettelijk verplicht, contractueel verplicht of noodzakelijk is om een overeenkomst te sluiten en de gevolgen die gebonden zijn aan het niet verstrekken ervan;
- De doeleinden van de verwerking van de persoonsgegevens (administratie van het personeel en de tussenpersonen en/of personeelsbeheer en werkplanning)
- Welke gegevenscategorieën verwerkt worden en waar ze vandaan komen (indien de gegevens niet rechtstreeks bij de betrokkene worden verkregen)
- Aan wie de gegevens worden meegedeeld[2
- Welke rechten de werknemers kunnen uitoefenen en tot wie zij zich kunnen wenden om hun rechten uit te oefenen: een recht van inzage en verbetering of wissing van de persoonsgegevens of beperking van de verwerking, het recht op gegevensoverdraagbaarheid en het recht van bezwaar tegen de verwerking
De GDPR verplicht de werkgever om bijkomend ook volgende informatie aan de werknemer te bezorgen:
- de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn[3]
- Indien de verwerking op de toestemming van de werknemer gebaseerd is, het recht om deze toestemming op ieder ogenblik in te trekken
- Het recht om een klacht in te dienen bij de toezichthoudende autoriteit
Over welke rechten moet de werknemer geïnformeerd worden?
De werknemer heeft verschillende rechten ten opzichte van de verwerking van zijn persoonsgegevens waarover de werkgever hem moet informeren.
Het recht van inzage en kopie
Het recht van inzage en kopie houdt voor de werknemer in dat wanneer hij dit vraagt, de verantwoordelijke voor de verwerking al dan niet bevestigt dat zijn persoonsgegevens verwerkt worden.
De werknemer moet ook inzage krijgen in de gegevens die de werkgever over hem verwerkt en informatie krijgen over:
- Waarom hij dit doet
- Waar hij de gegevens heeft gehaald (indien ze niet door de werknemer zelfs zijn gegeven)
- Wie de gegevens ontvangt
- Hoe lang hij deze gegevens wenst te bewaren,
- Of deze gegevens gebruikt worden om aan automatische besluitvorming te doen
- En zo ja, meer informatie hierover, of hij van plan is om de gegevens naar een land buiten Europa te versturen en meer informatie over de rechten van de werknemer tot zijn persoonsgegevens
De werknemer kan bovendien kosteloos ook een kopie van deze persoonsgegevens vragen.
Deze rechten gelden ook bij een ex-werkgever[4].
Het recht op verbetering en op verwijdering van de gegevens
De werknemer heeft bovendien het recht om de verbetering te bekomen van alle onjuiste persoonsgegevens die op hem betrekking hebben.
Hij kan eveneens vragen om elk persoonsgegeven te verwijderen dat niet pertinent is of dat onjuist is, waarvan de mededeling of de bewaring verboden is of dat langer dan nodig bewaard werd.
Hij kan het gebruik van die persoonsgegevens verbieden[5]. De werkgever kan dan slechts weigeren en toch de persoonsgegevens verder verwerken met het oog op een rechtsvordering met bv. een ex-werknemer.
In dat verband is het interessant te verwijzen naar een beslissing van de GBA[6] waarbij een administratieve geldboete van 15.000 euro werd opgelegd aan een onderneming die naliet om de e-mailadressen af te sluiten van de voormalige gedelegeerd bestuurder. De e-mailadressen bleven inderdaad nog actief tot verschillende jaren na het vertrek van de voormalige gedelegeerd bestuurder, en dit niettegenstaande het verzoek van betrokkene om de e-mailadressen te deactiveren.
Ook kan verwezen worden naar de boete van maar liefst 35,3 miljoen euro die het servicecenter van H&M te Neurenberg kreeg opgelegd door de Hamburgse Gegevensbeschermingsautoriteit. Dit omwille van het schenden van de privacy-rechten van haar werknemers door het systematisch bijhouden van vele persoonsgegevens. Het betrof heel wat gevoelige gegevens, zoals ziektesymptomen of medische diagnoses, maar ook informatie betreffende relatieproblemen en geloofsovertuigingen. De gegevens werden reeds verzameld sinds 2014 en continu geüpdatet. Zij zouden bovendien mee in overweging genomen worden bij het maken van bepaalde tewerkstellingsbeslissingen.
Het recht van bezwaar
De reglementering voorziet eveneens in een recht van bezwaar voor de betrokken persoon. De werkgever moet dan de verwerking staken, tenzij hij een gegronde reden heeft of met het oog op een rechtsvordering.
Dit recht vindt geen toepassing wanneer de verwerking van de persoonsgegevens gebaseerd is op dwingende gerechtvaardigde gronden die zwaarder wegen dan de belangen, rechten en vrijheden van de werknemer. Zo kan het recht van bezwaar niet uitgeoefend worden als de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een contract waarbij de betrokken persoon partij is (bijvoorbeeld een arbeidsovereenkomst) of wanneer de verwerking voortvloeit uit de naleving van een verplichting waar de verantwoordelijke van de verwerking aan onderworpen is (bijvoorbeeld de betaling van socialezekerheidsbijdragen).
Het recht op beperking van de verwerking
De werknemer beschikt ook over een recht op beperking van de verwerking. Deze beperking wordt aangeduid in het dossier. De werkgever zal dan slechts persoonsgegevens van de betrokken werknemer mogen verwerken, als deze zijn toestemming geeft, met het oog op een rechtsvordering of ter bescherming van de rechten van anderen.
Het recht om niet onderworpen te worden aan een besluit dat uitsluitend gebaseerd is op een geautomatiseerde gegevensverwerking
Tenslotte heeft de werknemer het recht om niet onderworpen te worden aan een besluit dat uitsluitend gebaseerd is op een geautomatiseerde gegevensverwerking bv. sollicitaties via het internet zonder menselijke tussenkomst.
Slechts als het noodzakelijk is voor de overeenkomst, het toegelaten is door nationale regelgeving of als de persoon uitdrukkelijk zijn toestemming geeft, mag dit wel wanneer er passende maatregelen genomen worden.
Wanneer moet de werknemer worden geïnformeerd?
Wanneer de werkgever de persoonsgegevens bij de werknemer zelf verzamelt, dan moet hij de werknemer bovenstaande informatie ten laatste op het ogenblik dat hij deze informatie verkrijgt, bezorgen. De informatie moet niet meer gegeven worden als de werknemer dit reeds wist.
Wanneer de werkgever de persoonsgegevens elders verzamelt en niet bij de werknemer zelf, dan moet hij de informatie ook aan de werknemer bezorgen, tenzij:
- Wanneer het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen
- Wanneer het verkrijgen van de gegevens uitdrukkelijk wettelijk is voorgeschreven of
- Wanneer de persoonsgegevens vertrouwelijk moeten blijven
Het is dan ook aangeraden om de werknemer bij het begin van de arbeidsovereenkomst te informeren over de verwerking van zijn persoonsgegevens en zijn rechten hieromtrent.
Hoe moet de werknemer geïnformeerd worden?
Vorm en toegankelijkheid
De plicht tot informeren over de verwerking is niet gebonden aan vormvoorwaarden. De GDPR geeft aan dat het verstrekken van de informatie moet gebeuren in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. De informatie wordt schriftelijk of met andere middelen, met inbegrip van elektronische middelen, verstrekt.
Toch raadt de European Data Protection Board aan om de kennisgeving schriftelijk te doen. Deze schriftelijke kennisgeving is echter niet gebonden aan vormvoorwaarden, dus er mag rekening gehouden worden met alle concrete omstandigheden.
Een “gelaagde kennisgeving” wordt aangeraden. Het eerste wat immers onder de aandacht moet worden gebracht zijn de details over de verwerkingsdoeleinden, de identiteit van de verwerkingsverantwoordelijke en de beschrijving van de rechten van de betrokkene, en informatie die de grootste impact op de werknemer of sollicitant zal hebben.
De werkgever moet zich kunnen verantwoorden en dus bewijzen dat de werknemers concreet en juist geïnformeerd zijn. Hoe de werkgever dit doet, is van weinig belang. Hij moet er wel voor zorgen dat de werknemer niet zelf moet zoeken naar de informatie, maar dat deze hem op actieve wijze bezorgd wordt of minstens actief onder zijn aandacht gebracht wordt (bv. met filmpje, mail, informatieve sessie,…).
In het kader van de arbeidsrelatie zijn er dus verschillende mogelijkheden:
- Ofwel wordt er een kennisgeving toegevoegd aan het arbeidsreglement volgens de klassieke procedure. Strikt genomen is er echter geen aanpassing van het arbeidsreglement nodig
- Ofwel wordt de kennisgeving individueel getekend door de werknemers
- Ofwel wordt de kennisgeving duidelijk op intranet voor de werknemers geplaatst
- …
Bovendien kan de kennisgeving steeds aangepast worden aan nieuwe situaties, dus het is aangeraden om een flexibel document of een flexibele manier van werken te hanteren.
Taalgebruik en opmaak
Een lange onduidelijke tekst is af te raden. De Working Group 29 spreekt van een gestructureerd document (bv. inhoudstafel, tussentitels, sjablonen, …). De gebruikte taal moet helder en begrijpelijk zijn en dus aangepast aan het doelpubliek. Het wordt bijvoorbeeld afgeraden om in vage bewoordingen te spreken of in voorwaardelijke zin, zoals “deze informatie zou kunnen gebruikt worden om”.
Oplossing: privacy policy of clausule
Met al deze voorwaarden en verplichtingen werd rekening gehouden in het model van privacy policy voor werknemers dat Securex voor u heeft opgemaakt. U kan dit bij uw Legal Advisor bekomen (tegen betaling) of via de e-shop. Securex heeft bovendien een informatieclausule opgenomen in de werknemersfiches die door de werknemers ondertekend en gedeeltelijk ingevuld moeten worden.
Het is eveneens vereist om kandidaat-werknemers hierover te informeren wanneer zij hun kandidatuur bij de onderneming indienen. Om aan deze verplichting te voldoen, is het bijvoorbeeld mogelijk om een specifieke clausule op te nemen in de vragenlijsten of formulieren die bij de sollicitatiegesprekken gebruikt worden. Uw Legal Advisor kan u helpen om zulke clausules inzake het privéleven op te stellen.
[1] Artikel 13 en 14 GDPR
[2] Een ‘ontvanger’ moet volgens de European Data Protection Board geen derde partij zijn. Bovendien is het aangeraden dat deze ontvanger bij naam genoemd wordt of als categorie zo specifiek mogelijk omschreven wordt; zodat de betrokkene weet wie zijn persoonsgegevens in zijn bezit kan hebben.
[3] Deze periode moet concreet genoeg omschreven worden. Het is niet voldoende is om te stellen dat de gegevens niet langer bewaard zullen worden dan noodzakelijk. Hiermee gaat de Working Group 29 in tegen een eerder standpunt van de Belgische Privacy Commissie, de voorloper van de Gegevensbeschermingsautoriteit.
[4] De geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) heeft in dit verband een beslissing ten gronde nr. 41/2020 van 29 juli 2020 genomen.
[5] In het kader van de arbeidsrelatie kunnen zich bijvoorbeeld volgende gevallen voordoen: de doeleinden waarvoor ze zijn verzameld of verwerkt zijn weggevallen; de toestemming waarop de verwerking is gebaseerd, is ingetrokken; de werknemer maakt om gegronde redenen bezwaar tegen de verwerking; de rechtsgrond om te mogen verwerken ontbreekt.
[6] Beslissing ten gronde van de Geschillenkamer van de GBA d.d. 29 september 2020.