Privacy op de werkvloer: algemeen

Binnen de arbeidsrelatie is er sprake van een dergelijk recht op gezagsuitoefening, dat verankerd is in de zogenaamde wet op de arbeidsovereenkomsten. Deze wet verplicht de werknemer te handelen volgens de bevelen en de instructies die hem worden gegeven door onder meer de werkgever met het oog op de uitvoering van de arbeidsovereenkomst en biedt een voldoende basis voor inmengingen of beperkingen die voortvloeien uit de normale uitoefening van het werkgeversgezag.

Elektronisch toezicht

Aangezien e-mail, internet en andere ICT-toepassingen ook hun weg gevonden hebben naar de werkvloer stelt zich de vraag of het elektronisch toezicht op werknemers zonder meer gelijkgesteld kan worden met een “moderne” vorm van gezagsuitoefening.

Het antwoord op deze vraag lijkt eerder neen te zijn. In tegenstelling tot vroeger (waarbij de gezagsuitoefening eerder visueel en face to face gebeurde) hebben de controle-instrumenten waarover de werkgever vandaag beschikt technische mogelijkheden die bijzonder indringend kunnen zijn en dus een gevaar kunnen opleveren voor de privacy van de gecontroleerde werknemer: denk maar aan camerabewaking, webcams, elektronische controle op telecommunicatieverkeer via telefoon, mail en internet, elektronische volgmodules in bedrijfsvoertuigen,…

Uit Europese rechtspraak weten we dat privacy een ruim begrip is. Er is geen enkele reden waarom dit geen beroeps- of handelsactiviteiten zou kunnen omvatten. Er bestaat dus een gebied waar interactie plaatsvindt tussen het individu en anderen, dat, zelfs binnen een professionele context, tot het „privéleven” kan behoren, temeer daar de meeste mensen precies binnen die professionele context een belangrijke en zo niet de grootste gelegenheid hebben relaties aan te knopen.

De stelling dat er van privacybescherming geen sprake meer is zodra men zich op de werkplek bevindt, is niet verdedigbaar. Om die reden is het de werkgever op de werkplek niet toegelaten zomaar naar eigen goeddunken controle uit te oefenen op al het doen en laten van zijn personeel. 

Verwerkingen van persoonsgegevens van werknemers

Maar hoe kunnen we nu weten of de werkgever bij een (elektronische) controlehandeling op werknemers een rechtmatige ingreep op privacy, dan wel een onrechtmatige inbreuk op privacy pleegt? Een werkgever verwerkt uiteraard veel persoonsgegevens over zijn werknemers.

Om deze afweging te maken, hebben we een meer concrete, wettelijke kapstok nodig. Een voorbeeld hiervan is de Privacywet, die de werkgever oplegt om de persoonlijke levenssfeer van werknemers te beschermen in verband met de verwerking van hun persoonsgegevens.

Dikwijls is de werkgever op zich reeds bevoegd om persoonsgegevens van werknemers te verwerken met het oog op de uitvoering van zijn specifieke verplichtingen en rechten in het kader van het arbeidsrecht (denken we maar aan een contractuele noodzaak, een wettelijke noodzaak en het ondernemingsbelang). Zo kan concreet verwezen worden naar het recht op gezagsuitoefening, de contractuele vrijheid, het eigendomsrecht, de verplichting als een “goede huisvader” ervoor te zorgen dat de arbeid wordt verricht in behoorlijke omstandigheden met betrekking tot de veiligheid en gezondheid van de werknemers en de objectieve aansprakelijkheid voor fouten die werknemers maken in de uitoefening van hun functie.

In beginsel is de verwerking van gevoelige gegevens verboden, maar de werkgever kan hiervoor toch enkele uitzonderingen inroepen. In een aantal wettelijk omschreven gevallen (bv. als het arbeidsrecht dit oplegt) kan de werkgever volgende persoonsgegevens van zijn werknemers verwerken: persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook persoonsgegevens die het seksuele leven betreffen, persoonsgegevens die de gezondheid betreffen en gerechtelijke persoonsgegevens

In dit alles spelen vooral het finaliteitsbeginsel, het proportionaliteitsbeginsel en het transparantiebeginsel uit de Privacywet een rol.

Finaliteit

De doeleinden die een verwerking van persoonsgegevens noodzaken, moeten welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Een eventuele verdere (latere) verwerking van diezelfde persoonsgegevens dient steeds verenigbaar te zijn met het oorspronkelijk doeleinde (rekening houdend met de redelijke verwachtingen van de betrokkene en met eventuele toepasselijke wetgeving).

Controle op onlinecommunicatie kan bijvoorbeeld gebeuren ter voorkoming van wangedrag, ter bescherming van vertrouwelijke bedrijfsgegevens, ter beveiliging van het netwerk of ter opvolging van de naleving van de interne netwerkafspraken (bv. geen overdreven privaat gebruik).

Geolokalisatie kan bijvoorbeeld gebeuren in functie van de veiligheid van de werknemer, in functie van de bescherming van de dienstwagen, om in te spelen op welomschreven professionele behoeften aangaande transport en logistiek, of nog, om bewust toezicht op het personeel te houden, dus ter controle van het professioneel gebruik van de dienstwagen en de behoorlijke uitvoering van het arbeidsregime.

Camerabewaking kan bijvoorbeeld gebeuren in functie van de veiligheid en gezondheid van de werknemer, de bescherming van de goederen van de onderneming, controle van het productieproces en de controle van de arbeid van de werknemer.

Een eventuele verdere verwerking van persoonsgegevens voor een afgeleid doeleinde dient steeds verenigbaar te zijn met het oorspronkelijk doeleinde, bijvoorbeeld indien een volgmodule in een bedrijfswagen enkel ter bescherming van de auto werd aangekondigd (bv. tegen diefstal), dan mag de werkgever geen stiekem gebruik maken van de verplaatsingsgegevens om het rendement van de chauffeur na te gaan. Als bijvoorbeeld beeldopnames in de bus alleen dienen voor de veiligheid van de buschauffeur is het problematisch dat deze naderhand zouden gebruikt worden om de klantvriendelijkheid van de buschauffeur na te gaan.

Proportionaliteit

Verwerk niet meer persoonsgegevens dan nodig om het doel van het (elektronisch) toezicht te bereiken. De verwerking dient toereikend, ter zake dienend en niet overmatig te zijn. De inmenging in de persoonlijke levenssfeer moet strikt beperkt blijven tot wat noodzakelijk is om de vooropgestelde finaliteit te bereiken.

Systematische en/of individuele controles mogen niet de regel zijn en moeten een uitzondering blijven. De analyse van de gegevens over het gedrag of de activiteiten van een personeelslid is slechts wettelijk als er ernstige aanwijzingen bestaan die een laakbaar, ongepast of verboden gedrag doen vermoeden, of als er bijzondere omstandigheden zijn die rechtvaardigen dat de verzamelde gegevens worden geraadpleegd.

Op het gebied van online toezicht betekent proportionaliteit in de controle bijvoorbeeld dat de werkgever pas mag individualiseren (het toeschrijven van dataverkeer aan concrete werknemers) bij onregelmatigheden (een abnormaal lange duur van de raadpleging van het internet, verdachte webadressen, een ongebruikelijk hoog aantal mails). Dit principe betekent ook dat de werkgever geen rechtstreekse maar enkel een indirecte individualisering (na het respecteren van een afkoelingsprocedure) mag doorvoeren, indien de afwijking slechts het gevolg is van de niet-naleving van een loutere ondernemingsregel. Controle op cyberslacking vereist in principe ook niet de kennisneming van de inhoud zelf van de verstuurde mail/geraadpleegde website (maar enkel de omringende kenmerken ervan).

Op het gebied van camerabewaking betekent proportionaliteit bijvoorbeeld geen cameratoezicht organiseren in de bedrijfstoiletten, geen permanent (maar slechts tijdelijk) cameratoezicht als het de bewuste bedoeling is de werknemers te viseren.

Op het gebied van geolokalisatie betekent proportionaliteit bijvoorbeeld het kunnen uitschakelen van het toestel wanneer het voertuig buiten de werkuren wordt gebruikt.

Transparantie

De betrokkene moet worden ingelicht, bijvoorbeeld over het doel van de verwerking en wie het nastreeft. Hij moet inzage kunnen krijgen in de verwerkte gegevens. In beginsel wordt voor elke geautomatiseerde verwerking een aangifte gedaan bij de Autoriteit die dit publiek maakt. Inlichtingen over de concrete verwerking kunnen aan de betrokken werknemer worden gegeven via circulaires, het arbeidsreglement, de individuele arbeidsovereenkomst,…

De werkgever moet er bijvoorbeeld voor zorgen dat voorafgaandelijk en bij het opstarten van het (elektronisch) toezicht informatie aan de werknemers wordt verschaft over alle aspecten van dit toezicht. Ook de wettelijke en conventionele bepalingen op het gebied van informatie en consultatie van de werknemers(vertegenwoordigers) moeten worden gerespecteerd om de transparantie met betrekking tot het toezicht te vergroten en de dialoog tussen de betrokken partijen te bevorderen.

Betreffende controle op het gebruik van het bedrijfsnetwerk betekent transparantie bijvoorbeeld het verstrekken van informatie aan de werknemers(vertegenwoordiging) welk soort gebruik ervan is toegelaten/verboden, de wijze waarop dit gebruik word gecontroleerd, de beslissingen die de werkgever kan nemen tegen de gebruiker op grond van gegevens die werden verzameld naar aanleiding van controle, het recht van toegang van de werknemer tot de eigen persoonsgegevens,...

In het themadossier Privacy op de werkvloer kan u al verschillende specifieke thema’s terugvinden die concreet voorbeelden aanreiken van mogelijke verwerkingen van persoonsgegevens van en toezicht op werknemers.

Belangrijk: wat is geen verwerking van persoonsgegevens van werknemers in de zin van de Privacywet

De officiële titel van de Privacywet is wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. De bedoeling van de wet is dus niet om het ruime begrip persoonlijke levenssfeer te beschermen maar slechts een deelaspect hiervan, in het bijzonder de verwerking van persoonsgegevens.

Onder het begrip verwerking verstaat de Privacywet elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van persoonsgegevens.

Een aantal handelingen van de werkgever zullen met andere woorden een invloed hebben op de persoonlijke levenssfeer van de werknemers, maar zullen niet beschermd zijn door de Privacywet zelf. Twee voorbeelden om dit verder te verduidelijken.

Het eerste voorbeeld betreft het openen door de werkgever van brieven op naam van de werknemer. Op zich tast deze handeling de persoonlijke levenssfeer van de werknemer aan, maar is dit geen verwerking in de zin van de Privacywet en is deze wet dus niet van toepassing.

Maar strikt gezien mag de werkgever deze brieven niet openen wegens de bescherming van het briefgeheim dat beschermd is door zowel de Grondwet als het Europese Verdrag voor de Rechten van de Mens.

Zo zou het betrokken personeelslid de aan hem gerichte brief eerst zelf moeten openen en pas dan kan de brief, indien het een professionele brief betreft, verder gebruikt worden in de organisatie. Het moet wellicht niet gezegd worden dat dit in de praktijk echter weinig gebeurd.

Algemeen is het immers aanvaard dat de briefwisseling op naam van een werknemer, en in het bijzonder briefwisseling waarop de notie vertrouwelijk staat, in principe niet mag worden geopend door een aangestelde van de werkgever omwille van het briefgeheim, hoewel het in de praktijk dus veelal gebeurt omwille van organisatorische redenen. Daarom wordt best vermeden dat persoonlijke briefwisseling op naam wordt gestuurd naar de werkplaats van de betrokkene.

Een tweede voorbeeld betreft het fouilleren van werknemers. Er bestaat geen specifieke wettelijke basis die een dergelijke fouillering zou toestaan.

De Privacywet is niet van toepassing, aangezien er immers geen sprake is van enige verwerking van persoonsgegevens, ten minste als het om een loutere handmatige fouillering gaat.

Uiteraard raakt fouilleren wel aan het ruimere begrip van de persoonlijke levenssfeer van werknemers. Er zal dan ook aan de algemene vereisten van legaliteit, noodzakelijkheid en proportionaliteit moeten worden voldaan.

In de rechtspraak bijvoorbeeld zien we daarom verschillende voorwaarden opduiken. Zo schrijft de werkgever het best deze controlebevoegdheid contractueel of reglementair in (bv. in het arbeidsreglement) en is een dergelijke fouillering enkel binnen de onderneming mogelijk en niet erbuiten.