Dankzij de nieuwe technische mogelijkheden kunnen werkgevers hun werknemers steeds makkelijker controleren. De Europese privacytoezichthouders (verenigd in de Artikel 29-werkgroep) hebben daarom in een nieuwe opinie duidelijk gemaakt op welke wijze werkgevers kunnen zorgen voor meer balans tussen hun legitieme belangen enerzijds, en de bescherming van de privacy van werknemers anderzijds.
De opinie is een aanvulling op een advies uit 2001 over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding en een advies uit 2002 over de controle op elektronische communicatie op het werk, en benadrukt dat het (mede) gezien de nieuwe technologieën nog belangrijker is om met een aantal privacybeginselen rekening te houden bij het verwerken van persoonsgegevens in een arbeidsverhouding, namelijk:
· persoonsgegevens moeten rechtmatig worden verwerkt, en alleen voor proportionele en noodzakelijke doeleinden.
· persoonsgegevens mogen in principe alleen gebruikt worden voor de doeleinden waarvoor ze oorspronkelijk zijn verzameld.
· er zijn geen andere manieren mogelijk hetzelfde doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
· indien werknemers worden gecontroleerd moeten zij van tevoren zijn geïnformeerd over de redenen voor de controle, de controleperioden, de methoden en technieken en de gegevens die worden verzameld.
· werknemers moeten de mogelijkheid hebben om hun gegevens in te zien en eventueel te corrigeren.
· de persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.
· de persoonsgegevens moeten worden beveiligd, zodat ze niet verloren raken of in verkeerde handen terechtkomen
De werkgever moet de gegevensverwerking steeds kunnen baseren op één van de zes wettelijke grondslagen. Daarvan zijn er vier het meest relevant voor de werkgever:
1. De toezichthouders benadrukken dat werkgevers zelden of nooit een beroep kunnen doen op de grondslag van toestemming van werknemers voor de verwerking van persoonsgegevens. Dit omdat werknemers in een afhankelijkheidspositie verkeren en daarom doorgaans geen vrije toestemming kunnen geven.
2. Het verwerken van persoonsgegevens van werknemers kan noodzakelijk zijn voor de uitvoering van de overeenkomst waarbij de werknemer partij is, bijvoorbeeld om salaris uit te betalen.
3. De verwerking van persoonsgegevens van werknemers kan noodzakelijk zijn ter uitvoering van een wettelijke plicht van de werkgever, bijvoorbeeld onder belastingwetgeving.
4. De werkgever kan een legitieme reden (het zogeheten gerechtvaardigd belang) hebben. Dit belang weegt zwaarder dan het privacybelang van de werkenemer en er zijn geen andere manieren mogelijk om het doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
De Europese toezichthouders geven in hun advies met diverse praktische voorbeelden aan hoe tegen de inzet van bepaalde technieken aangekeken wordt. Denk bijvoorbeeld aan het controleren van social media tijdens de sollicitatieprocedure of na beëindiging van de arbeidsrelatie; het controleren van het gebruik van ICT-voorzieningen op de werkplek of buiten de werkplek (waaronder thuiswerken, en BYOD); en het verstrekken van zogenoemde wearables die gezondheidsgegevens registreren.
De Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, biedt de Nederlandse overheid de mogelijkheid om aanvullende (privacy)regels te stellen met betrekking tot:
· recruitment;
· de uitvoering van de arbeidsovereenkomst;
· management, planning en organisatie van het werk;
· gelijkheid en diversiteit op het werk;
· gezondheid en veiligheid op het werk en de werkplek;
· bescherming van de eigendom van de werkgever of de klant;
· het genot van de met de arbeidsverhouding samenhangende rechten en voordelen; en
· beëindiging van de arbeidsverhouding.