De OR staat óók voor waarborging van de privacyrechten van werknemer

De komst van de Algemene Verordening Gegevensbescherming (AVG) zorgt ervoor dat organisaties steeds bewuster om zullen moeten gaan met verwerkingen van persoonsgegevens. Dat geldt ook voor de persoonsgegevens van werknemers. Als ondernemingsraad heeft u hierin een zeer belangrijke stem.

Uw organisatie hoort u als OR te betrekken bij alle maatregelen die zij neemt rondom privacy. Bent bijvoorbeeld u op de hoogte van de regelingen in verband met de verwerking van persoonsgegevens die in uw organisatie gelden? Of bent u gekend in de maatregelen die zijn genomen in het kader van de monitoring van medewerkers?

Met de AVG in het vooruitzicht, neemt het belang van een goed privacybeleid binnen de organisatie alleen maar toe. Onderschat dan ook zeker niet de rol en invloed van de OR bij de optuiging van het privacybeleid. Regelingen die a. de verwerking van persoonsgegevens raken of b. regelingen getroffen in verband met de monitoring van werknemers moeten immers voor instemming aan de OR worden voorgelegd. Dit is niet nieuw, maar al sinds 1998 in de Wet op de ondernemingsraden (WOR) opgenomen.

Oog voor de bescherming van persoonsgegevens van werknemers

Nieuwe technologieën maken het voor werkgevers steeds eenvoudiger om het gedrag van werknemers systematisch te volgen. Op het moment dat de organisatie van plan is een regeling ten aanzien van de verwerking van persoonsgegevens of een personeelsvolgsysteem vast te stellen, te wijzigen of in te trekken, zal de OR zijn instemmingrecht uit moeten oefenen.

Ook door bijvoorbeeld het gebruik van diverse devices op het werk ontstaan nieuwe vormen van verwerking van persoonsgegevens. De Europese privacywerkgroep, de artikel 29-werkgroep, heeft op 8 juni jl. haar opinie uitgebracht over de verwerking van persoonsgegevens op de werkvloer.

Artikel 29-werkgroep

Waar dient u als OR nou in het bijzonder op te letten als het gaat om de bescherming van de privacy van werknemers?

Doelbinding

Voor welk doel worden persoonsgegevens door de werkgever verzameld? Is dit een gerechtvaardigd doel en worden de persoonsgegevens ook enkel voor dit doel gebruikt? Het is niet toegestaan persoonsgegevens te gebruiken voor een ander doel dan waarvoor ze zijn verzameld.

Rechtmatige grondslag

De werkgever mag enkel persoonsgegevens verzamelen als dat gebeurt op grond van een in de wet genoemde grondslag, zoals toestemming van de werknemer, noodzaak in verband met de uitvoering van een overeenkomst (de arbeidsovereenkomst), noodzaak in verband met een wettelijke plicht (afdracht van loonheffingen) of de noodzaak in verband met een gerechtvaardigd belang van de werkgever.

Het beroep op de toestemming van de werknemer is over het algemeen in de arbeidsrelatie onvoldoende om uit te kunnen gaan van een rechtmatige grondslag. Dat heeft te maken met het feit dat de relatie tussen de werkgever en de werknemer niet een evenwichtige relatie is. Omdat de werkgever een zekere machtspositie heeft, is het maar de vraag of de werknemer zijn toestemming in vrijheid heeft gegeven. Is dit niet het geval, dan mag de werkgever niet uitgaan van de toestemming van de werknemer en moet een andere grondslag voor de verwerking worden bepaald.

Vaak wordt voor het inzetten van instrumenten om toezicht te houden op werknemers, het plaatsen van camera’s of het screenen van e-mail aangevoerd dat dit nodig is in verband met het belang van de werkgever. Dit kan gerechtvaardigd zijn als er een noodzaak bestaat om persoonsgegevens in het kader van het door de werkgever geformuleerde belang te verwerken, mits er een goede belangenafweging wordt gemaakt ten opzichte van de belangen van de werknemer. Het ingezette middel mag niet meer inbreuk maken op de privacy van de werknemer dan nodig en de werkgever dient ook altijd de belangen van de werknemer voldoende te beschermen. De OR zal deze belangenafweging in haar besluitvorming moeten betrekken.

Verder is het belangrijk dat de werkgever verantwoordt dat de gegevensverwerking proportioneel is. De werkgever mag niet meer gegevens verwerken dan nodig is voor het doel waarvoor hij de gegevens nodig heeft.

Transparantie

Een ander belangrijk punt is dat de werkgever transparant moet zijn over de verwerkingen die hij uitvoert met personeelsgegevens. De werknemer moet weten welke gegevens voor welk doel worden verzameld. Zo heeft het Europees Hof voor de Rechten van de Mens (EHRM) onlangs in een Roemeense zaak geoordeeld dat werkgevers de privécommunicatie van hun medewerkers alleen in de gaten mogen houden, als zij hiervan tevoren een melding over krijgen.

Ook zal de werkgever moeten aangeven waar de gegevens vandaan komen als er persoonsgegevens worden verwerkt die niet bij de werknemer zelf vandaan komen. De OR kan hierbij bijvoorbeeld de vraag op tafel leggen of het nodig is geweest om die gegeven bij die andere partij vandaan te halen of dat het wellicht toch mogelijk zou zijn geweest om de gegevens gewoon bij de werknemer zelf op te vragen. Ook kan de OR nagaan of werknemers op de hoogte zijn van het feit dat de werkgever gegevens over hen verzameld die elders vandaan komen.

Rechten van werknemers

Een ander zeer belangrijk punt om zicht op te houden vanuit de OR is het waarborgen van de rechten die werknemers kunnen uitoefenen ten aanzien van alle verwerkingen die de werkgever uitvoert met hun persoonsgegevens. Afgezien van het feit dat werkgevers duidelijk moeten communiceren over het feit dat zij gegevens omtrent hun werknemers verwerken en voor welk doel dat gebeurt, hebben werknemers ook rechten in verband met de gegevens die van hen worden verwerkt. Werkgevers zullen hun werknemers hierover op een duidelijke en in eenvoudig leesbare vorm moeten informeren.

Zo hebben werknemers recht op inzage in hun gegevens, kunnen zij verzoeken gegevens te laten vernietigen en hebben zij een recht op een afschrift van de gegevens die van hen worden verwerkt. De OR kan met de werkgever ervoor zorgen dat werknemers inderdaad goed zijn geïnformeerd en kunnen de werkgever vragen hen te informeren over de wijze waarop zij procedures hebben ingericht om aan dergelijke verzoeken van werknemers te voldoen.

Verwerking van medische gegevens

Medische gegevens worden onder de huidige Wet bescherming persoonsgegevens (Wbp) en onder de AVG gezien als “bijzondere persoonsgegevens”. Deze gegevens mogen enkel worden verwerkt onder het medisch beroepsgeheim. Dat betekent dat de werkgever geen medische gegevens van zijn werknemers mag verwerken.

Bij de uitoefening van haar taak in verband met de verwerking van persoonsgegevens binnen de organisatie zal de OR ook hier met de werkgever mee moeten kijken en moeten kunnen vaststellen dat de werkgever inderdaad geen medische gegevens verwerkt. Dus ook geen notitie bij een ziekmelding dat de werknemer met griep op bed ligt. De werkgever mag enkel die gegevens verwerken die nodig zijn om te beoordelen wanneer de werknemer zijn werk weer zou kunnen hervatten, bijvoorbeeld “ziekmelding met verwachte werkhervatting over 3 dagen”. Alle overige medische informatie in verband met een ziekmelding mag enkel door een medisch deskundige mogen gebeuren op wie het medisch beroepsgeheim van toepassing is, zoals de bedrijfsarts.

Personeelscontrolesystemen

Als het gaat om personeelscontrolesystemen dan hebben we het over voorzieningen die gericht zijn op of geschikt zijn voor waarneming, gedrag of prestaties van werknemers. Denk hierbij bijvoorbeeld aan het plaatsen van camera’s, tijdsregistratiesystemen of tools die gebruikt worden om het werk van werknemers op de diverse devices te monitoren. Een complicerende factor bij dit laatste is tegenwoordig dat werk en privé steeds minder strikt gescheiden zijn. De werknemer werkt ook remote vanuit huis en zakelijke werkzaamheden worden zo in een privé context uitgevoerd. Hier dient de werkgever zeer zorgvuldig mee om te gaan.

Het is aan de OR om te beoordelen of de werkgever duidelijke regelingen heeft op gesteld om zijn medewerkers te monitoren en hier al dan niet mee in te stemmen. Het toezicht van de werkgever mag er niet toe leiden dat privé gegevens van de werknemer worden ingezien door de werkgever. Zo dient de werkgever bij digitale monitoring van e-mails bijvoorbeeld maatregelen te nemen, waarmee privé e-mails van werknemers niet worden ingezien en zal er niet structureel gemonitord mogen worden, maar enkel steekproefsgewijs.

De OR aan zet

Organisaties zullen hard aan de slag moeten om hun privacybeleid op orde te brengen in aanloop naar de inwerkingtreding van de AVG.

Staat dit bij uw organisatie nog onvoldoende op de agenda? Dan kan de OR ervoor zorgen dat het op de agenda wordt gezet!

Staat privacy al wel op de agenda van uw organisatie, maar heeft u onvoldoende zicht op hoe dit in uw organisatie geregeld is of wordt? Dan kan de OR met een beroep op haar instemmingsrecht ervoor zorgen dat zij betrokken wordt bij de opstelling van de nodige regelingen en er namens werknemers voor zorgen dat hun rechten voldoende worden beschermd en gewaarborgd binnen de organisatie!

Wilt u meer weten over hoe uw OR haar betrokkenheid kan vergroten? Wij bieden onder andere informatiesessies en trainingen op maat voor uw OR.

Raadpleeg ook eens onze AVG Helpdesk. Hier vindt u alle belangrijke informatie over de AVG.

www.avghelpdesk.nl

Marieke van Dijk

Legal Counsel en Privacy Officer 

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact