Wie personeel in dienst heeft, moet personeelsdossiers bijhouden. Contactgegevens van personeelsleden, sociale zekerheidsgegevens, bankrekeningnummer, evaluaties, misschien ook een foto voor op het intranet of op de bedrijfswebsite en wie weet zelfs een vingerafdruk of gezichtsscan voor de toegangscontrole. Maar persoonsgegevens verwerken onder GDPR kan niet zomaar, natuurlijk. Geen probleem, je vraagt even expliciete toestemming op papier en klaar is kees. Toch…? Niet dus…
Een recente GDPR boete van 150.000 euro opgelegd aan PwC door de Griekse Gegevensbeschermingsautoriteit en een tweede boete van 200.000 Zweeds Kronen opgelegd door de Zweedse overheid aan een lokale school maken pijnlijk duidelijk dat toestemming vragen aan personeelsleden alles behalve evident is…
Altijd toestemming nodig?
Het is een vaak terugkerend misverstand dat je altijd toestemming nodig zou hebben om gegevens te kunnen verwerken onder de Algemene Verordening Gegevensbescherming. Dat is immers zeer zeker niet het geval.
De basisregel onder GDPR is eigenlijk eenvoudig: je mag persoonsgegevens niet verzamelen en verwerken, tenzij je kan aantonen dat je één van de zes limitatieve rechtsgronden hebt om dat wél te mogen doen:
- de wet verplicht je of staat je expliciet toe om gegevens te verwerken
- je hebt toestemming gevraagd en gekregen van de betrokkene om gegevens te verwerken
- je moet bepaalde gegevens verwerken omdat dat nodig is om een overeenkomst met de betrokkene uit te voeren
- het is van levensbelang voor de betrokkene dat je zijn gegevens verwerkt
- je bent een overheid en het is van algemeen belang (openbaar belang) dat je bepaalde gegevens verwerkt
- je valt niet onder één van bovenstaande vijf, maar je beslist om gegevens toch te verwerken omdat je een “gerechtvaardigd belang” hebt om dat te doen, waarbij jouw belang in evenwicht moet zijn met de inbreuk die je begaat op de privacy van de betrokkene.
Toestemming is dus slechts één van de zes rechtsgronden die je toelaten om gegevens te verwerken en je hebt zeker niet altijd toestemming nodig.
Meer zelfs, toestemming is vaak de verkeerde rechtsgrond
Binnen je personeelsbeleid zullen heel wat gegevens verwerkt worden omdat dat wettelijk verplicht is. Sociale zekerheidsgegevens en fiscale informatie bijvoorbeeld moet sowieso verwerkt worden.
Sommige gegevens over je werknemers moet je ook verwerken omdat ze essentieel en noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst. Dat is bijvoorbeeld het bankrekeningnummer van je personeelslid. Je kan immers het loon niet betalen als je geen rekening hebt om het op te storten…
Voor heel wat andere gegevens echter kan je noch een wettelijke verplichting, noch een contractuele noodzaak inroepen. Het voorbeeld van de foto op de bedrijfswebsite werd al gegeven. Een ander voorbeeld is het bijhouden van gegevens over het gezin om -als sympathieke werkgever- bij de verjaardag van de kinderen een cadeautje aan te bieden of het verwerken van persoonsgegevens in het kader van een employee benefit programma. Hiervoor kan in sommige gevallen nog wel een “gerechtvaardigd belang” ingeroepen worden, maar in de meeste gevallen moet je toch voorafgaande toestemming vragen aan de betrokkenen.
Toestemming in het kader van arbeidsrelaties
Precies daar liep het onlangs fout voor een Griekse afdeling van PWC, die een GDPR boete opliep…. omdat ze toestemming had gevraagd aan haar personeelsleden!
Hoe dat kan? Wel, toestemming is aan een aantal zeer precieze voorwaarden onderworpen. Toestemming moet namelijk voorafgaand, geïnformeerd en vooral vrij gegeven worden. “Vrij” betekent dat de betrokkene de toestemming ook moet kunnen weigeren, zonder daarvan nadeel te ondervinden.
De vraag is dus: kan een personeelslid wel “vrij” neen zeggen tegen zijn werkgever? Wat dat betreft heeft de EU een tijdje geleden zélf al in een aanbeveling aangegeven dat toestemming vragen aan personeelsleden eigenlijk nogal moeilijk is. De kans is immers groot dat een werknemer niet echt neen durft zeggen als je hem vraagt of je zijn foto op de bedrijfswebsite mag plaatsen of zijn vingerafdruk mag nemen voor de toegangscontrole.
In casu had PwC al haar personeelsleden een “toestemming” laten ondertekenen waarin in het algemeen toestemming werd gegeven voor de verwerking van hun persoonsgegevens in het kader van human resources management.
De Griekse GBA oordeelde daarover -terecht- dat toestemming door personeelsleden nooit “vrij” gegeven is en dus altijd in conflict komt met de AVG of GDPR. Bovendien kan je toestemming als rechtsgrond niet in de plaats stellen van andere rechtsgronden die zich opdringen, zoals een “wettelijke verplichting” of een “noodzaak om een contract uit te voeren”. Als de verwerking eigenlijk gebeurt op één van die gronden, hoor je in je verwerkersregister én in je privacy policy de verwerking te baseren op die “natuurlijke” rechtsgrond en niet op basis van toestemming.
Toestemming is overigens om puur praktische redenen ook te mijden, aangezien de toestemming op elk ogenblik ingetrokken kan worden en in dat geval moet je sowieso elke verwerking stoppen en kan je niet alsnog terugvallen op een andere rechtsgrond.
Specifiek probleem bij vingerafdrukken?
Die toestemming is overigens zeker ook nodig als je als bedrijf of organisatie beslist om vingerafdrukken of gezichtsherkenning van je personeel te gaan gebruiken voor bijvoorbeeld toegangscontrole.
Vingerafdrukken en gezichtsherkenning zijn immers biometrische gegevens en die zijn onder de AVG of GDPR “bijzonder beschermd”. Dat betekent dat de énige echte rechtsgrond om die gegevens te verwerken (los van een reeks eerder exotische uitzonderingen) de voorafgaande expliciete toestemming is en je je niet kan baseren op een wettelijke verplichting, de uitvoering van een arbeidsovereenkomst of een gerechtvaardigd belang.
In Zweden besloot een tijdje geleden een school om afwezigheden te monitoren op basis van gezichtsherkenning. Voor ze van start ging besloot ze om toestemming te vragen aan de leerlingen om dit te doen. De school dacht daarmee in overeenstemming te zijn met haar verplichtingen onder de Algemene Verordening Gegevensverwerking (AVG of GDPR), maar het kwam haar toch op een GDPR boete van 200.000 Zweedse Kronen (zo’n 18.000 euro) te staan. Hetzelfde gebeurde vorig jaar met een Frans bedrijf dat op basis van een (al dan niet opgelegde) toestemming de vingerafdrukken van haar personeel verzameld had voor toegangscontrole.
Met andere woorden, de klassieke toegangscontrole zal toch nog een tijdje naast de fingerprintherkenning moeten blijven draaien voor al die personeelsleden die liever niet hebben dat je hun vingerafdruk gebruikt én ze moeten zich vrij voelen om die keuze te kunnen maken…
Wat moet je hieruit leren?
Wel, een goede controle van je dataregisters dringt zich op: welke rechtsgronden hanteren we? zijn dat de meeste aangewezen rechtsgronden? Wat zijn de consequenties van de ingeroepen rechtsgrond. Die afwegingen moeten ervoor zorgen dat je je interne gegevensverwerking alvast baseert op de juiste rechtsgronden en niet op toestemming vertrouwt als een wettelijke basis waar dat niet zou moeten. Dat elimineert alvast een eerste risico op onaangename en vermijdbare boetes.
Daarnaast is een grondige check van je privacy policies nodig. Je bent immers transparantie en informatie verschuldigd aan je personeelsleden. Dat betekent dat zij moeten wéten welke gegevens je verwerkt, maar ook op basis van welke rechtsgrond dat gebeurt én wat hun rechten zijn in die context (recht op inzage, verbetering, intrekken toestemming, verzet tegen verdere verwerking, …).
Als je toch aan de slag gaat met een update van je privacy policy, doe je dat meteen best grondig overigens. Andere verplichte vermeldingen die vaak worden vergeten, zijn bijvoorbeeld het detailleren van bewaartermijnen, de identiteit van derden aan wie gegevens doorgegeven worden en het feit dat uw werknemer het recht heeft om een klacht in te dienen bij de GBA (met de contactgegevens van de GBA).
Voor wat personeelsgegevens betreft, zien we in de praktijk overigens al te vaak dat er zelfs geen privacy policy bestaat en dat werkgevers zich ertoe beperken om ergens in de arbeidsovereenkomst een “gegevensbeschermingsclausule” op te nemen.
Dat is echter manifest onvoldoende en het risico dat een ontevreden individuele werknemer of de collectieve vertegenwoordiging van je werknemers de GBA op de hoogte stelt is écht niet zo denkbeeldig…