Verwerping van de bewijselementen door de Hoven en Rechtbanken
De belangrijkste sanctie is dat de rechtbanken de bewijselementen verwerpen die de werkgever heeft verkregen op een wijze die niet in overeenstemming is met de CAO nr. 81.
Het Hof van Cassatie stelde evenwel als principe dat onrechtmatig verkregen bewijzen toch ontvankelijk kunnen worden verklaard, voor zover de rechter rekening houdt met de volgende elementen[1]:
- De onregelmatigheid heeft louter met vormvoorwaarden te maken
- De tekortkoming heeft geen weerslag op het recht of de vrijheid die door de overtreden norm wordt beschermd
- De ernst van de inbreuk staat niet in verhouding tot de onregelmatigheid die voorafging aan of gepaard ging met de vaststelling ervan
Concreet zal de rechter de ernst van de door de werknemer begane inbreuk afwegen tegen de aantasting van zijn privacy door de werkgever.
Als de werknemer zich bijvoorbeeld heeft schuldig gemaakt aan fraude of aan oneerlijke concurrentie, zal de rechter minder streng zijn ten aanzien van een werkgever die de voorschriften van de CAO nr. 81 niet heeft nageleefd, dan als de werknemer gewoon te veel privémails heeft gestuurd. In dat laatste geval moet de werkgever de voorschriften van de CAO nr. 81 zeker hebben nageleefd om deze e-mails aan de rechtbank te kunnen voorleggen.
Administratieve sancties
Ondernemingen die de GDPR niet naleven, hangt een zware administratieve geldboete boven het hoofd. Deze boete kan oplopen tot 20 miljoen euro of 4% van het wereldwijde jaarlijkse omzetcijfer van de onderneming.
De Belgische wet bepaalt dat de overheid en haar aangestelden of gemachtigden geen administratieve sancties opgelegd kunnen krijgen, tenzij het gaat om een publiekrechtelijke rechtspersoon die goederen of diensten aanbiedt.
Strafsancties
De CAO nr. 81 zelf bevat geen enkele sanctie die kan worden opgelegd aan een werkgever die de bepalingen van de CAO overtreedt. Maar artikel 189 van het Sociaal Strafwetboek bestraft een werkgever die een inbreuk pleegt op een algemeen verbindend verklaarde collectieve arbeidsovereenkomst die niet al door een ander artikel van het Sociaal Strafwetboek wordt gesanctioneerd, met een sanctie van niveau 1 [2]. Hieruit volgt dat een strafsanctie kan worden opgelegd voor elke overtreding van de bepalingen van de CAO nr. 81. In de praktijk komt het echter zelden tot strafvervolging.
De wet van 30 juli 2018 voorziet eveneens in strafsancties. Deze sancties worden samen met de strafrechtelijke inbreuken uit boek 1 van het Strafwetboek toegepast.
De strafsancties worden als volgt vastgelegd:
De verwerkingsverantwoordelijke, of de verwerker, zijn aangestelde of gemachtigde worden gestraft met een geldboete van 250 tot 15.000 euro indien[3]:
- De persoonsgegeven verwerkt worden zonder wettelijke basis, met inbegrip van de voorwaarden voor de toestemming en de verdere verwerking
- De persoonsgegevens met ernstige nalatigheid of kwaadwillig verwerkt worden in overtreding van de verwerkingsvoorwaarden (welbepaalde, duidelijk omschreven, legitieme doeleinden)
- De verwerking waartegen bezwaar werd gemaakt, gehandhaafd werd zonder dwingende wettige redenen
- De doorgifte van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie gebeurt in overtreding van de waarborgen, voorwaarden of uitzonderingen voorzien in de Verordening of de wet van 30 juli 2018 en dit gebeurt met ernstige nalatigheid of kwaadwilligheid
- De door de toezichthoudende autoriteit vastgestelde corrigerende maatregelen voor de tijdelijke of definitieve verwerkingsbeperking niet wordt gerespecteerd
- De door de toezichthoudende autoriteit vastgestelde corrigerende maatregel om de verwerking GDPR conform uit te voeren, niet wordt gerespecteerd
- De wettelijke verificatie- en controle-opdrachten van de bevoegde toezichthoudende overheid, haar leden of deskundigen werden belemmerd
- Weerspannigheid, in de zin van artikel 269 van het Strafwetboek, werd gepleegd ten aanzien van de leden van de toezichthoudende autoriteit
- Enz.
De verwerkingsverantwoordelijke, of de verwerker, zijn aangestelde of gemachtigde worden gestraft met een geldboete van 500 tot 30.000 euro indien[4]:
- Zij een betrokkene, als gevolg van hun nalatigheid voor zover deze ernstig, of kwaadwillig is, hebben ingelicht over het bestaan van een persoonsgegeven dat hem aangaat en dat afkomstig is van bepaalde overheden (inlichtingen-en veiligheidsdiensten, de politiediensten, het coördinatieorgaan voor de dreigingsanalyse of de Belgische passagiersinformatie-eenheid), terwijl zij de oorsprong van het gegeven kenden en de wet hen niet verplichtte om deze informatie in het kader van een geschillenprocedure kenbaar te maken of indien de inlichtingen-en veiligheidsdiensten geen toestemming hebben gegeven om de informatie kenbaar te maken
- Zij een betrokkene, als gevolg van hun nalatigheid voor zover deze ernstig is, of kwaadwillig, hebben ingelicht dat bepaalde overheden (inlichtingen-en veiligheidsdiensten, de politiediensten, het coördinatieorgaan voor de dreigingsanalyse of de Belgische passagiersinformatie-eenheid) de ontvanger is van één van zijn persoonsgegevens
De rechtbank kan voor deze strafrechtelijke inbreuken eveneens bevelen dat het vonnis, integraal of gedeeltelijk, in één of meerdere kranten wordt gepubliceerd. De rechtbank bepaalt de voorwaarden van de publicatie. De veroordeelde draagt ook de kosten van de publicatie. Er wordt bovendien een administratieve procedure bij de Gegevensbeschermingsautoriteit voorzien.
Wordt bestraft met een geldboete van 200 tot 10.000 euro[5]:
- Elk lid of elk personeelslid van de bevoegde toezichthoudende autoriteit of elke deskundige die de verplichting tot vertrouwelijkheid waartoe hij is gehouden heeft geschonden
Wordt bestraft met een geldboete van 100 tot 10.000 euro[6]:
- De verwerkingsverantwoordelijke of de persoon die handelt onder het gezag van bepaalde overheden (inlichtingen-en veiligheidsdiensten, de politiediensten, het coördinatieorgaan voor de dreigingsanalyse of de Belgische passagiersinformatie-eenheid) of van diens verwerker, die als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, één van de verplichtingen van vertrouwelijkheid en veiligheid, niet heeft nageleefd
Wordt bestraft met een geldboete van 100 tot 10.000 euro[7]:
- Hij die, om een persoon te dwingen hem zijn instemming te geven met de verwerking van de hem betreffende persoonsgegevens, tegen die persoon gebruik maakt van feitelijkheden, geweld, bedreigingen, giften of beloften
- Hij die persoonsgegevens doorgeeft, doet of laat doorgeven, als gevolg van zijn nalatigheid voor zover deze ernstig is, of kwaadwillig, naar een land dat geen lid is van de Europese Unie of een internationale organisatie zonder dat is voldaan aan de vereisten van de GDPR
De verwerkingsverantwoordelijke, de verwerker, of zijn vertegenwoordiger in België zijn burgerrechtelijk aansprakelijk voor de betaling van de boeten waartoe zijn aangestelde of gemachtigde is veroordeeld.
Schadevergoeding
De werknemer zou schadevergoeding kunnen eisen wegens de schending van zijn privacy. De bedragen die hij zou kunnen verkrijgen, zouden echter van het type ‘morele schadevergoeding’ zijn en geen reële bescherming vormen voor de werknemer.
[1] Zogenaamde ‘Antigone’-rechtspraak, die werd ontwikkeld ten gevolge van het arrest van het Hof van Cassatie van 14 oktober 2003.
[2] Raadpleeg ons dossier ‘Sociaal Strafwetboek’ voor meer informatie over de sancties die in het Sociaal Strafwetboek zijn opgenomen.
[3] Artikel 222 van de wet van 30 juli 2018.
[4] Artikel 223 van de wet van 30 juli 2018.
[5] Artikel 224 van de wet van 30 juli 2018.
[6] Artikel 226 van de wet van 30 juli 2018.
[7] Artikel 227 van de wet van 30 juli 2018.