COVID-19 en de verwerking van persoonsgegevens op de werkvloer

Geschreven door Lexalert

Naar aanleiding van de uitbraak van COVID-19 ontving de Gegevensbeschermingsautoriteit recent een aantal terugkerende vragen betreffende de preventieve maatregelen die door bedrijven en werkgevers worden genomen ter voorkoming van de verdere verspreiding van het virus en de voorwaarden waaronder persoonsgegevens - en in het bijzonder gezondheidsgegevens - in dit verband mogen worden verwerkt.

Overeenkomstig artikel 20, 2° van de wet van 3 juli 1978 rust op de werkgever de verplichting “als een goed huisvader te zorgen dat de arbeid wordt verricht in behoorlijke omstandigheden met betrekking tot de veiligheid en de gezondheid van de werknemer”. In uitvoering van deze bepaling treffen vele werkgevers dan ook preventiemaatregelen. De vraag rijst evenwel hoe deze verplichting zich verhoudt tot het recht van de werknemer op bescherming van zijn privéleven en persoonsgegevens.

Het komt de werkgever uiteraard toe een aantal preventiemaatregelen te treffen inzake werkorganisatie (flexibele werkuren, telewerk, uitstel personeelsfeesten, …) evenals sensibilisering inzake sociale afstand en hygiëne op de werkvloer (zie website FOD Werkgelegenheid). Van zodra te nemen preventiemaatregelen echter gepaard zouden gaan met een verwerking van persoonsgegevens, moeten ook de bepalingen van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) gerespecteerd worden.

Volksgezondheid is voor ons van het allergrootste belang en preventie en recht op privéleven zijn niet tegenstrijdig. We bevelen wel aan om de instructies van de bevoegde overheden - onder meer de FOD Volksgezondheid - na te leven zodat alle genomen maatregelen evenredig zijn. Zo wordt zowel een goede levenshygiëne als een goede “gegevenshygiëne” verzekerd!

In antwoord op de recent gestelde vragen brengt de Gegevensbeschermingsautoriteit hieronder enkele algemene principes inzake gegevensbescherming in herinnering en beantwoordt zij een aantal FAQs.

1. Rechtmatigheid van de verwerking (artikelen 6 en 9 AVG)

Ook in het kader van het nemen van preventieve gezondheidsmaatregelen geldt als algemeen principe dat elke verwerking van persoonsgegevens dient te voldoen aan de voorwaarden van artikel 6.1 AVG en gesteund moet zijn op één van de in dit artikel vermelde rechtmatigheidsgronden.

In dit verband dient er in het bijzonder op te worden gewezen dat in deze fase en op basis van de laatste informatie gepubliceerd door de FOD Volksgezondheid met betrekking tot COVID-19 geen reden bestaat voor een ruimere of systematische toepassing van de rechtmatigheidsgrond vervat in artikel 6.1, d) AVG (“noodzaak van de verwerking voor de bescherming van de vitale belangen van de betrokkene of andere natuurlijke personen”) in het kader van het nemen van preventiemaatregelen door bedrijven en werkgevers.

Dit geldt des te meer voor de verwerking van gezondheidsgegevens, waarvoor artikel 9 AVG in principe een verwerkingsverbod voorschrijft. Er dient op te worden gewezen dat bedrijven en werkgevers zich voor de verwerking van deze categorie van persoonsgegevens uitsluitend kunnen beroepen op artikel 9.2, i) AVG indien zij handelen in uitvoering van uitdrukkelijke richtlijnen opgelegd door de bevoegde overheden.

Verder dient de beoordeling  van de risico’s voor de gezondheid bovendien niet te worden uitgevoerd door de bedrijven en werkgevers maar door de arbeidsgeneesheer, die bevoegd is voor de opsporing van besmettingen en voor het informeren van de werkgever en de personen die in contact kwamen met de besmette persoon. Deze informatie wordt door de bedrijfsarts verstrekt op basis van de artikel 6.1, c) en 9.2, b) AVG (verwerking ter uitvoering van een arbeidsrechtelijke verplichting).

Volg het on demand seminarie Inspectie door Gegevensbeschermingsautoriteit – een draaiboek met Liese KUYKEN

2. Preventiemaatregelen en de algemene beginselen inzake persoonsgegevensverwerking

Bij het verwerken van persoonsgegevens in het kader de tenuitvoerlegging van “COVID-19”- preventiemaatregelen dienen naast de voormelde AVG-bepalingen bovendien de algemene beginselen inzake gegevensverwerking te worden gerespecteerd.

In het bijzonder dienen maatregelen die een verwerking van persoonsgegevens inhouden het proportionaliteitsbeginsel en het beginsel van minimale gegevensverwerking in acht te nemen (artikel 5.1, c) en e) AVG).

Zoals bij elke gegevensverwerking mag immers slechts de minimaal noodzakelijke hoeveelheid gegevens worden verwerkt om het vooropgestelde doel te bereiken.

Verder dienen bedrijven transparant te zijn betreffende de genomen maatregelen en hun werknemers en bezoekers afdoende te informeren betreffende de verwerkingsdoeleinden en de bewaartermijn van de in dit kader verzamelde persoonsgegevens (artikel 5.1, a) AVG).

Tot slot moeten ook de nodige beveiligingsmaatregelen in acht worden genomen ter bescherming van de te verwerken persoonsgegevens (artikel 32 AVG).

Lees ook: Update FOD Werk: Coronavirus: preventiemaatregelen en arbeidsrechtelijke gevolgen

3. FAQ

A) Mag een bedrijf of werkgever algemene en systematische controles uitoefenen (bijvoorbeeld het systematisch controleren van de lichaamstemperatuur van werknemers en/of bezoekers)?

Het uitvoeren van dergelijke algemene en systematische controles door bedrijven of werkgevers kan niet als proportioneel worden beschouwd. Het is de rol van de arbeidsgeneesheer personen op te volgen waarvan de werkgever een vermoeden heeft dat zij werden blootgesteld aan en/of symptomen vertonen van COVID-19.

B) Mag een werkgever zijn werknemers verplichten een medische vragenlijst of vragenlijst betreffende zijn recente reizen in te vullen?

De werkgever kan werknemers niet verplichten tot het invullen van dergelijke vragenlijsten. Het is aangewezen werknemers aan te zetten tot het spontaan melden van risicovolle reizen of symptomen. Ook in dit geval dient de rol van de arbeidsgeneesheer te worden benadrukt.

C) Mag een bedrijf of werkgever in het kader van de voorkoming van de verdere verspreiding van het virus de namen van besmette personen/werknemers bekendmaken?

Op grond van het vertrouwelijkheidsbeginsel (artikel 5.1, f) AVG) en het beginsel van de minimale gegevensverwerking (artikel 5.1, c) AVG) mag een werkgever de namen van betrokken personen niet bekendmaken. De werkgever mag andere werknemers hier enkel van op de hoogte stellen zonder vermelding van de identiteit van de betrokken perso(o)n(en).

D) Kan mijn werkgever me verbieden in mijn vrije tijd vergaderingen bij te wonen, samen te komen met vrienden en familie, naar het buitenland te reizen ?

Voor zover deze vragen van een werkgever aan zijn werknemer niet gepaard gaan met een effectieve verwerking van persoonsgegevens, betreft dit niet de bevoegdheid van de GBA. In het algemeen geldt wel dat een werkgever geen maatregelen kan nemen die het bestaande arbeidsrechtelijk regelgevend kader of instructies van bevoegde overheden te buiten gaan.

E) Bijkomende vragen?

Heeft u na het lezen van dit bericht nog verdere vragen betreffende de verwerking van persoonsgegevens in het kader van de tenuitvoerlegging van preventiemaatregelen betreffende COVID-19, dan kan u deze richten aan de Gegevensbeschermingsautoriteit via het adres contact [at] apd-gba.be (contact [at] apd-gba.be.)