Gegevensverwerking op het werk: Nieuw advies van de Artikel 29-werkgroep

Terug
Datum:
25 Aug 2017

Sinds nieuwe technologieën het mogelijk hebben gemaakt meer systematisch persoonsgegevens van werknemers op het werk te verwerken en oplossingen te monitoren zijn er nieuwe belangrijke uitdagingen gecreëerd in het kader van privacy en gegevensbescherming.

In deze context heeft de Artikel 29-werkgroep (“WP29”) een nieuwe opinie uitgebracht over de verhouding tussen de legitieme belangen van werkgevers en de redelijke verwachtingen van privacy van werknemers.

De WP29 is een onafhankelijke Europese werkgroep die zich bezighoudt met onderwerpen met betrekking tot de bescherming van persoonsgegevens en privacy. Zij werd “gecreëerd” in Artikel 29 van de Richtlijn Gegevensbescherming (Richtlijn 95/46/ EC) en werd opgericht in 1996. Zij is samengesteld uit vertegenwoordigers van alle nationale gegevensbeschermingsautoriteiten van de EU lidstaten, de Europese Toezichthouder voor Gegevensbescherming en de Europese Commissie. De WP29 heeft een adviestaak maar haar adviezen genieten veel gezag door haar samenstelling.

Op 8 juni 2017 heeft de WP29 een advies aangenomen over de monitoring van werknemers (Advies 2/2017 over gegevensverwerking op het werk), waarmee het haar vorige publicaties actualiseert.

In deze recente opinie benadrukt de WP29 dat werkgevers persoonsgegevens in een tewerkstellingscontext alleen mogen verzamelen voor legitieme doeleinden, waarbij de verwerking van deze gegevens plaats moet vinden onder gepaste omstandigheden en enkel voor zover er een of meer wettelijke grondslag(en) voor bestaa(t)(n). Wat de toestemming van de werknemer als wettelijke grondslag voor de verwerking van persoonsgegevens betreft, bevestigt de WP29 haar vorige mening. Gelet op de inherent ongelijke machtsverhouding kunnen werknemers enkel in uitzonderlijke omstandigheden vrij hun toestemming geven en dus is hun toestemming best niet de (enige) wettelijke basis voor het verwerken van persoonsgegevens van werknemers. Het rechtmatig belang van de werkgevers anderzijds, kan worden ingeroepen als wettelijke basis, maar enkel indien het verwerken strikt noodzakelijk is voor een legitiem doel en indien de verwerking beantwoordt aan de principes van proportionaliteit en subsidiariteit.

Hoewel het huidig wettelijk kader nog steeds de Richtlijn Gegevensbescherming is, houdt het advies ook rekening met de verplichtingen onder de Algemene Verordening Gegevensbescherming (Verordening 2016/679, “AVG”), welke reeds van kracht is maar slecht van toepassing zal zijn vanaf 25 mei 2018 en die de Richtlijn Gegevensbescherming zal vervangen.

Ten eerste bevestigt de WP29 dat de AVG dezelfde verplichtingen omvat dan de Richtlijn Gegevensbescherming en deze versterkt en benadrukt drie principes in dat verband, namelijk:

  • Wettelijke basissen: teneinde gegevens te verwerken in de tewerkstellingscontext zijn één of meer wettelijke basis(sen) vereist (bv: wettelijke verplichtingen of het rechtmatig belang van de werkgever);
  • Transparantie: gegevensverwerking op het werk vereist een zekere mate van transparantie naar de werknemers toe (bv: aanwezigheid opvolgen en de doeleinden voor het verwerken van de persoonsgegevens);
  • Geautomatiseerde beslissingen kunnen enkel gevolgen ressorteren onder specifieke voorwaarden (bv: toegelaten bij wet).

Ten tweede bevestigt de WP29 dat de GDPR ook nieuwe verplichtingen introduceert voor alle verwerkingsverantwoordelijken, met inbegrip van werkgevers:

  • Gegevensbescherming door ontwerp en door standaardinstellingen, waarbij de meest privacy-vriendelijke oplossingen moeten worden gebruikt en zo weinig mogelijk gegevens worden verzameld;
  • Gegevensbeschermingseffectbeoordelingen moeten worden uitgevoerd telkens wanneer een type van verwerking (vooral door gebruik van nieuwe technologieën) naar alle verwachting gepaard zal met hoge risico’s voor de rechten en vrijheden van natuurlijke personen, in deze context, van werknemers;  
  • Verwerking in de tewerkstellingscontext kan verder gereguleerd worden op het niveau van de lidstaat (bv: met betrekking tot aanwerving, gezondheid en veiligheid op het werk, beëindiging van de arbeidsrelatie).

Naast het uitlijnen van de risico’s verbonden aan de nieuwe technologieën voorziet de WP29 in een proportionaliteitsbeoordeling van verscheidene concrete scenario’s waarin de nieuwe technologieën kunnen worden ingezet. De opgenomen scenario’s hebben onder andere betrekking op de verwerking van tijd en aanwezigheidsgegevens, cloud services, internationale overdrachten, het verwerken van persoonsgegevens tijdens het aanwervingsproces, het monitoren van IT-gebruik buiten de werkplaats (bv: het gebruik van het eigen materiaal voor professionele doeleinden, het monitoren van thuis en op afstand werken).

De WP29 sluit haar advies af met enkele aanbevelingen waarin zij benadrukt dat de fundamentele rechten van werknemers met betrekking tot hun communicatie en de daarmee verbonden gegevensstroom, volledig van toepassing blijven ongeacht het soort van technologie dat wordt ingezet.

Wat het rechtmatig belang van de werkgevers als wettelijke basis betreft erkent de WP29 dat dit in sommige gevallen ingeroepen kan worden, maar zij raadt aan (i) dat een proportionaliteitstoets wordt uitgevoerd alvorens enige controletechniek wordt aangewend, om na te gaan of het daadwerkelijk noodzakelijk is om dergelijke data te verzamelen, (ii) om na te gaan of deze verwerking belangrijker is dan de algemene privacyrechten die werknemers ook op hun werkplaats hebben en (iii) welke maatregelen genomen moeten worden om te verzekeren dat inbreuken op de rechten van de werknemers (bv: hun recht op een privéleven en hun recht op geheimhouding van hun communicatie) beperkt blijven tot hetgeen strikt noodzakelijk is.

Aangezien de verwerking van persoonsgegevens op het werk in verhouding moet staan met de risico’s die een werkgever loopt, moet de voorkeur uitgaan naar de preventie van misbruik, zoals het blokkeren van een website, eerder dan naar opsporing, bijvoorbeeld door het nagaan van het surfgedrag. Informatie die geregistreerd wordt naar aanleiding van permanente controle, evenals de informatie die getoond wordt aan de werkgever zou zo veel als mogelijk geminimaliseerd moeten worden en zou niet langer bewaard mogen worden dan de aangegeven bewaartermijn.

In elk geval blijft transparantie naar de werknemers toe belangrijk. Werknemers moeten op een doeltreffende wijze geïnformeerd worden, niet enkel over elke controle die plaatsvindt, maar ook over de doeleinden van deze controle en de omstandigheden alsook over de mogelijkheden voor werknemers om te voorkomen dat hun gegevens worden vastgelegd door controlerende technologieën. Alle policies en regels met betrekking tot legitieme controle moeten duidelijk en eenvoudig toegankelijk zijn. Ondanks de eerder technische aard van deze materie, welke een materie is die gewoonlijk op IT level wordt behandeld, raadt de WP29 aan om een representatief staal van de werknemers te betrekken bij de creatie en evaluatie van dergelijke regels en policies aangezien de meeste  controle mogelijks inbreuk zal plegen op de privélevens van de werknemers.

> Actiepunt

Werkgevers zouden een gelijkaardige nieuwe beoordeling van het evenwicht tussen hun legitieme belangen als werkgevers en de redelijke privacy verwachtingen van hun werknemers moeten overwegen in het licht van nieuwe technologieën en ontwikkelingen van bestaande technologieën die werden ingevoerd.