GDPR : Personeelsattenties - toestemming vereist?

Geschreven door , Claeys & Engels, www.claeysengels.be
Foto:   Martin Snicer

Nu het nieuwe jaar is aangebroken, rijst de vraag of ondernemingen hun werknemers op hun privé adres (of mail of telefoonnummer) wensen mogen toesturen om hun persoonlijke betrokkenheid in de verf te zetten. En mogen de verjaardagen van de werknemers bijgehouden worden om hen te kunnen verrassen met bloemen of een verjaardagskaart? Soms gebeurt het ook dat werkgevers privéadressen van werknemers doorgeven aan collega’s voor het versturen van beterschapskaartjes bij ziekte. Dit alles staat in het teken van het creëren van een aangename en geëngageerde werkomgeving. Hierbij worden uiteraard ook persoonsgegevens verwerkt. Op welke rechtsgrond dient de werkgever zich hiervoor te baseren?

Dikwijls gaan werkgevers ervan uit dat zij zich voor dit type verwerkingen kunnen baseren op het gerechtvaardigd belang van de onderneming, met name het bevorderen van de sociale cohesie op de werkvloer. Een recent standpunt van de Belgische Gegevensbeschermingsautoriteit (GBA) lijkt dit echter tegen te spreken.

Volg op 27 april 2020 van 12 uur tot 14 uur het online seminar GDPR – Tips & tricks uit de praktijk met Anouk FOCQUET

De GBA herinnert eraan dat de rechtsgrond van de “gerechtvaardigde belangen” enkel kan worden ingeroepen voor zover de verwerking strikt noodzakelijk is voor een gerechtvaardigd doeleinde. Verwerkingen die eerder “nice to have” dan “need to have” zijn, wringen volgens de autoriteit met dit noodzakelijkheidsbeginsel. Dit sluit ook aan bij het standpunt van het Europees Comité voor gegevensbescherming dat van oordeel is dat de vereiste noodzakelijkheid in het kader van de rechtsgrond “gerechtvaardigde belangen” geen te ruime invulling mag krijgen.

Hoewel het geen officieel standpunt van de GBA betreft, lijkt het onderscheid tussen “nice to have”- en “need to have”-activiteiten ertoe te leiden dat personeelsattenties in principe toestemming van de betrokkenen vereisen.

Dat werknemers over het algemeen worden geacht niet vrij hun toestemming te kunnen geven aan hun werkgever voor de verwerking van hun persoonsgegevens, vormt volgens de GBA geen hinderpaal. Deze toestemming is volgens de autoriteit wel degelijk mogelijk - en in dit geval ook gepast - indien de werknemer geen nadeel lijdt als hij of zij dit zou weigeren. De toestemming moet wel vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.

Een praktische manier om hiermee om te gaan, kan erin bestaan om te werken met een tool waarbij werknemers vrijwillig persoonsgegevens kunnen overmaken met het oog op eventuele personeelsattenties en erop worden gewezen dat zij niet verplicht zijn hun gegevens mee te delen.

Actiepunt

Het is belangrijk om in kaart te brengen of de onderneming persoonsgegevens van werknemers verwerkt in het kader van “nice to have”-activiteiten. Desgevallend moet hiervoor toestemming worden gevraagd. Indien de onderneming toch zou beslissen om geen toestemming te vragen, dan is het belangrijk, zo bevestigt ook de GBA, om de afweging die aan deze beslissing voorafgaat te documenteren, rekening houdend met het verantwoordingsprincipe.