Tag Archives: privacy

Privacy-inbreuken in het arbeidsrecht

De werkgever heeft bij uitstek te maken met het verwerken van persoonsgegevens en het bijkomende recht op privacy van de werknemers. Soms gaat het dan ook mis en wordt privacyschending een onderdeel van de arbeidsrechtelijke procedure. Hoe werkt het privacyrecht in dat geval door in het arbeidsrecht? Ook is er een tendens dat werknemers regelmatig een beroep doen op de (transcriptie) van een heimelijk met hun smartphone opgenomen gesprek. Bedrijfsadvocaat heeft speciaal voor u de basisregels van Privacy-inbreuken in het arbeidsrecht op een rijtje gezet.

Met de nabije inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018 staat het privacyrecht regelmatig in de spotlights. Ook in het arbeidsrecht is de komst van de AVG niet onopgemerkt gebleven. Dat is niet zo gek, de werkgever heeft bij uitstek te maken met het verwerken van persoonsgegevens en het bijkomende recht op privacy van de werknemers. Soms gaat het dan ook mis en wordt privacyschending een onderdeel van de arbeidsrechtelijke procedure. Hoe werkt het privacyrecht in dat geval door in het arbeidsrecht?

Het privacyrechtelijke toetsingskader
Zowel op grond van de huidige Wet bescherming persoonsgegevens (Wbp) als de toekomstige AVG dient de verwerkingsverantwoordelijke, in dit geval de werkgever, een grondslag te hebben voor het verwerken van de gegevens. Deze grondslagen zijn limitatief opgesomd in artikel 8 Wbp/6 AVG. Mag een werkgever bijvoorbeeld de social media accounts van een sollicitant bekijken of mag een medewerker gesprekken opnemen en gebruiken zijn zaken die voor komen. In de juridische grondslag voor de werkgever is vrijwel altijd het gerechtvaardigde belang in de zin van artikel 8 sub f Wbp/6 lid 1 sub f AVG. De inbreuk op de belangen van de werknemer door de verwerking van persoonsgegevens moet een legitiem doel hebben, in verhouding staan tot het daarmee te dienen doel en het doel moet niet op een andere, minder nadelige manier kunnen worden bereikt. Dit is een streng kader.

Het arbeidsrechtelijke toetsingskader
Indien de werknemer een beroep doet op zijn recht op privacy, gebeurt dit vaak in het kader van artikel 8 EVRM en niet met een beroep op de Wbp. Het is afwachten of door de grotere bekendheid met de AVG dit in de toekomst zal veranderen.

Kenbaarheidsvereiste
Als een mogelijke privacy-inbreuk deel uitmaakt van een gerechtelijke procedure, dient de rechter de inbreuk te beoordelen. De rechter kijkt naar het privacykader, namelijk gerechtvaardigd belang, proportionaliteit en subsidiariteit. Ook kijkt de rechter naar een aantal aanvullende arbeidsrechtelijke factoren. De belangrijkste factor is het kenbaarheidsvereiste. Het kenbaarheidsvereiste ziet op de vraag of het voor de werknemer kenbaar was of had kunnen zijn dat er een inbreuk zou worden gemaakt op zijn privacy. In dit kader speelt intern beleid een grote rol. De rechter neemt kenbaarheid sneller aan indien het is vastgelegd in, bijvoorbeeld, een voor alle werknemers toegankelijk, begrijpelijk intern reglement. Indien er geen beleid is of het beleid te vaag is, kan er nog steeds sprake zijn van een gerechtvaardigde verwerking, maar dan worden er wél hogere eisen gesteld aan de gerechtvaardigdheid van het doel en de proportionaliteitseis. Daarnaast speelt een rol in de rechterlijke toetsing of de ondernemingsraad met het interne beleid heeft ingestemd.

Arbeidsrecht
Een arbeidsrechtadvocaat richt zich op zaken met betrekking tot arbeidsrecht, ontslagrecht en medezeggenschapsrecht. Advies in arbeidsrecht door een Bedrijfsadvocaat betekent voorbereidende maatregelen treffen vóórdat een kwestie speelt. Ondernemers die anticiperen op een slecht scenario hebben een voorsprong. Voorkomen is beter dan genezen, wij hebben ontzettend veel ervaring en het arbeidsrecht verandert continue. Wij zijn voorbereid en goed geïnformeerd inzake de nieuwe Wet Werk en Zekerheid, laat u hierbij adviseren door uw Bedrijfsadvocaat om goed voorbereid te zijn.

Wij helpen o.a. bij
– Procedures en/of reorganisaties
– Opstellen arbeidsovereenkomsten
– Onderhandelingen
– Ontslag strategie

De Bedrijfsadvocaat arbeidsrecht adviseert onderneming ook bij:

arbeidsrechtcontracten, onderhandelingen, procedures en/of reorganisaties
vastlegging van arbeidsovereenkomsten, huisreglement, leaseauto reglement, AVG, privacy etc.
de te volgen strategie bij het ontslaan van een werknemer.

Het recht op privacy geniet steeds meer aandacht door de komst van de AVG en de digitalisering van de samenleving. Hierdoor ontstaan soms geschillen op de werkvloer. Het strenge privacyrecht lijkt door de arbeidsrechtrechter op praktische wijze te worden getoetst, met aandacht voor alle omstandigheden van het geval. Dit kan tot gevolg hebben dat een privacy-inbreuk toch gerechtvaardigd wordt geacht, of dat het onrechtmatig verkregen bewijs toch in het nadeel van de werknemer deel mag uitmaken van de procedure.

Bron: Mede naar aanleiding van Privacy-inbreuken in het arbeidsrecht bron auteur: Claire Huijts | 9 april 2018 © Pels Rijcken & Droogleever Fortuijn N.V. waardoor alle rechten voorbehouden.

Privacy-inbreuken in het arbeidsrecht

Privacy en AVG: aandachtspunten voor werkgevers

Avinci Advocaten en juristen houdt u als werkgever altijd op de hoogte van de laatste wetswijzigingen die voor u van belang zijn middels een nieuwsbrief, via de website of met u in een persoonlijk gesprek. In onze actuele blogs kunt u globaal de onderwerpen doorlezen maar als u inhoudelijk meer wilt weten wat het precies betekent voor uw onderneming of vereniging, dan kunt u altijd ruggespraak houden met onze advocaten of juristen. Vandaag behandelen we Privacy en AVG: aandachtspunten voor werkgevers.

Vanaf 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming (AVG) van kracht worden.Deze nieuwe wet zal belangrijke gevolgen hebben voor organisaties die persoonsgegevens verwerken. Vrijwel alle ondernemingen en organisaties verwerken in meer of mindere mate persoonsgegevens. Dat betreft o.a. gegevens over het in de onderneming werkzame personeel. Denk aan NAW-gegevens en gegevens over het functioneren van werknemers. Maar ook gegevens over ziekteverzuim vallen hieronder. Ondernemingen zullen in de praktijk vaak ook andere persoonsgegevens verwerken (bijv. klantgegevens) maar in dit artikel focussen wij op gegevens m.b.t. het personeel.

Welke gevolgen heeft de AVG voor organisaties gezien vanuit hun rol als werkgever? En hoe kunnen werkgevers hier op anticiperen? Wij bespreken in dat kader 4 belangrijke aandachtspunten.
1. Het privacyrecht

Voor een goed begrip van de talrijke privacyregels is het belangrijk e.e.a. in de juiste context te plaatsen. Het privacyrecht omvat, kort gezegd, alle wetgeving met betrekking tot het recht op de bescherming van de persoonlijke levenssfeer. Dit fundamentele recht is vastgelegd in een aantal internationale verdragen en nader uitgewerkt in Europese en nationale wetgeving. Het betreft onder meer de Nederlandse Wet bescherming persoonsgegevens (Wbp) – een implementatie van de Europese Privacyrichtlijn. De Wbp en de Privacyrichtlijn worden per 25 mei 2018 vervangen door de AVG.

Wanneer hebt u hier als werkgever mee te maken? Dat is vrijwel altijd het geval. De regels zijn namelijk van toepassing op het moment dat u persoonsgegevens verwerkt. Een persoonsgegeven is een gegeven dat betrekking heeft op één specifieke persoon. Bijv. een naam, een adres of een pasfoto. Van verwerken is, kort gezegd, sprake op het moment dat u iets doet met deze persoonsgegevens. U slaat de gegevens bijv. op, u combineert de gegevens met andere gegevens die u hebt verkregen of u verstrekt de gegevens aan een andere partij. Bij arbeidsrelaties kan hier in de regel niet aan worden ontkomen daar werkgevers op grond van arbeids- en belastingwetgeving al verplicht zijn bepaalde persoonsgegevens te verwerken.

De regels in voornoemde privacywetten zijn gebaseerd op een aantal basisprincipes, bijv. het beginsel van rechtmatigheid, behoorlijkheid en transparantie. Ook vertrouwelijkheid en doelbinding zijn belangrijke beginselen. Deze beginselen komen tot uiting in de diverse privacyregels. Neem bijv. het voorschrift dat persoonsgegevens alleen maar mogen worden verwerkt als dit berust op ten minste één van de zes wettelijke grondslagen. Aan het vereiste van een wettelijke grondslag kan voldaan zijn als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst.In het geval van werknemers is dat de arbeidsovereenkomst. Een grondslag voor de rechtmatige verwerking van persoonsgegevens kan ook zijn de toestemming van betrokkene. Deze grondslag is echter in de relatie werkgever/werknemer in de praktijk lastig te gebruiken. Een ander voorbeeld is de verplichting werknemers (proactief) te informeren over het feit dat hun persoonsgegevens worden verwerkt.

2. Informeer werknemers dat u persoonsgegevens verwerkt

Op grond van de AVG hebt u een informatieplicht jegens werknemers zodra u persoonsgegevens van het personeel verwerkt.[4] Onder andere de volgende informatie moet worden verstrekt:

– Identiteit en contactgegevens van de werkgever, de andere organisaties die in het kader van de arbeidsrelatie persoonsgegevens verwerken (bijv. de arbodienst, verzuimverzekeraar, externe administrateurs, etc.), en – voor zover van toepassing – de functionaris gegevensbescherming (FG);

– Het doel of de doelen waarvoor u de persoonsgegevens verwerkt;

– Of u persoonsgegevens naar het buitenland transporteert en welke waarborgen dat land biedt ter bescherming van het recht op privacy. Hiervan kan sprake zijn als bijv. een kopie van bepaalde personeelsgegevens centraal wordt opgeslagen op een server van het hoofdkantoor in het buitenland;

– Hoe lang de gegevens worden bewaard;

– De rechten die de werknemer heeft m.b.t. de verwerking van zijn persoonsgegevens. Denk aan het recht op inzage, rectificatie, wissing, beperking, recht om bezwaar te maken en om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP), en het recht om een eenmaal gegeven toestemming weer in te trekken;

Indien u een personeelshandboek hebt, kan hier een hoofdstuk “Privacy” aan worden toegevoegd waarin u deze informatie verstrekt. Ook met een volledige privacyverklaring kunt u aan deze verplichting voldoen. Let op dat deze verklaringen continu getoetst worden aan nieuwe ontwikkelingen en consequent worden verstrekt aan (nieuwe) personeelsleden.

3. Leg vast op welke wijze u persoonsgegevens verwerkt

Verder schrijft de AVG voor dat organisaties moeten vastleggen (‘registreren’) op welke wijze zij persoonsgegevens verwerken.[5] Deze documentatieplicht geldt altijd voor werkgevers die 250 werknemers of meer in dienst hebben. Maar ook voor werkgevers met een kleiner personeelsbestand kan deze verplichting gelden. Volgens de AVG is dat o.a. het geval als het verwerken van persoonsgegevens ‘niet incidenteel’ is of als de werkgever ook bijzondere persoonsgegevens verwerkt.Dit is niet erg concreet. Van het verwerken van bijzondere persoonsgegevens is bovendien al sprake op het moment dat u (documenten met) pasfoto’s opslaat van uw personeel (zie de toelichting van de AP). Naast de registratieverplichting kent de AVG de verplichting voor de werkgever om te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Kortom, ook voor een kleine werkgever kan het aan te raden zijn de verwerkingen van persoonsgegevens te documenteren.

Met het oog op deze documentatieplicht moeten, kort gezegd, de hiervoor – in het kader van de informatieplicht – genoemde gegevens ook intern worden vastgelegd in een register. Daarnaast moet ook worden beschreven welke technische en organisatorische beveiligingsmaatregelen zijn getroffen (wordt informatie versleuteld? Zijn databases alleen toegankelijk met een wachtwoord? Welke personen in de organisatie hebben een wachtwoord? Etc.). Ook moet beschreven worden van wie de gegevens worden verwerkt (in beginsel zullen dit werknemers zijn, maar ook zzp’ers en inleenkrachten zouden hieronder kunnen vallen) en om wat voor een gegevens het gaat. Dit register kan schriftelijk maar mag ook digitaal worden bijgehouden.

Privacy en AVG: aandachtspunten voor werkgevers
4. Zijn de huidige verwerkingen wel zijn toegestaan?

Hoewel de regels uit hoofde van de AVG m.b.t. de vraag in hoeverre persoonsgegevens daadwerkelijk mogen worden verwerkt inhoudelijk niet veel verschillen van de (huidige) regels onder de Wbp, loont het toch de moeite nog een keer goed te beoordelen of de huidige verwerkingen wel zijn toegestaan.

Daarvoor is een aantal redenen te bedenken. Ten eerste geldt dat de AP – de Nederlandse toezichthouder op het gebied van privacy – op grond van de AVG forse boetes kan opleggen. Deze kunnen oplopen tot 10 miljoen euro of 2% van de totale wereldwijde omzet in het voorgaande boekjaar, en zelfs tot 20 miljoen euro of 4% van de totale wereldwijde omzet in het geval van ernstige overtredingen.Op grond van de huidige Wbp is het niet mogelijk dermate hoge boetes op te leggen. Hoewel de op grond van de AVG opgelegde sancties wel evenredig moeten zijn, en het nog de vraag is op welke wijze de AP in de praktijk gebruik zal maken van haar sanctiebevoegdheid, moet het risico op een hoge boete serieus worden genomen.

Een ander belangrijk punt is dat er in de praktijk met enige regelmaat (ten onrechte) op wordt vertrouwd dat als een werknemer eenmaal toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens, de verwerking dan rechtmatig is. Hoewel een verwerking naar de letter van de wet rechtmatig is als de betrokkene daarvoor toestemming heeft gegeven,wordt het niet snel aangenomen dat iemand daadwerkelijk toestemming heeft gegeven. Zeker in het geval van een arbeidsrelatie waarin de werknemer in een afhankelijke positie staat t.o.v. zijn werkgever. Er kunnen dan ook andere redenen meespelen, bijv. de angst voor represailles of negatieve aandacht als de werknemer geen toestemming verleent. Zie in dat kader ook het recente advies van de Artikel 29-Werkgroep over het verwerken van persoonsgegevens op het werk.[12] Het is dus aan te bevelen goed te beoordelen of een bepaalde verwerking los van de door de werknemer gegeven toestemming rechtmatig is (bijv. omdat deze noodzakelijk is in het kader van de arbeidsovereenkomst).

Ten slotte gelden juist op het gebied van privacy in de arbeidsrelatie een groot aantal specifieke regels waaraan werkgevers zich moeten houden. Bijv. rondom sollicitanten, screening en controle van personeel, de rol van de OR, zieke medewerkers, het bewaren/vernietigen van gegevens en het verstrekken van gegevens aan derden.

Conclusie

Het bovenstaande laat zien dat werkgevers er goed aan doen te anticiperen op de nieuwe privacyregels die per 25 mei 2018 van kracht worden. Het is belangrijk in dat kader te kijken of het personeel voldoende geïnformeerd is, of de huidige verwerkingen in kaart zijn gebracht en duidelijk zijn vastgelegd in een register, en of de wijze waarop momenteel persoonsgegevens worden verwerkt wel is toegestaan. Overigens zijn dit niet de enige punten waar u als werkgever rekening mee moet houden. De AVG schrijft bijv. ook voor dat in sommige gevallen een onderzoek moet worden verricht naar de concrete risico’s van een gegevensverwerking (een ‘data protection impact assessment’).Maar door bovenstaande acties te nemen – eventueel na inwinning van juridisch advies – bent u een belangrijke stap verder richting het voldoen aan de privacyregels.

Wilt u meer advies inwinnen op gebied van arbeidsrecht en hoe om te gaan met privaatrecht? Wij kunnen door een Legal Business Scan al uw arbeidscontracten beoordelen en adviseren hoe hiermee om te gaan en concreet aangeven wat u kunt doen om uw organisatie in lijn te brengen en de implementatie met de geldende privacyregels. Verder beantwoorden wij specifieke vragen – bijv. in hoeverre een bepaalde gegevensverwerking binnen de wettelijke kaders valt. Wilt u meer weten? Neem dan contact met ons op, wij zijn gevestigd in Rotterdam!

Het heimelijk opnemen van gesprekken kan onrechtmatig zijn indien het in strijd komt met het recht op privacy van de gesprekspartner of op onrechtmatige wijze de persoonsgegevens zijn verwerkt van de ander. Het Gerechtshof ’s- Hertogenbosch beoordeelde bijvoorbeeld het opnemen van een gesprek waar de werknemer niet bij aanwezig was als een ernstige inbreuk op de persoonlijke levenssfeer van de deelnemers aan dat gesprek.

Bron Privacy en AVG: aandachtspunten voor werkgevers: Recht.nl en Brantjes Advocaten