Managers, administratief medewerkers, adviseurs van managers en personeelsfunctionarissen kunnen vaak alles inzien wat aan een manager wordt gestuurd, ook als het persoonlijke informatie van medewerkers betreft. Waar ligt de grens? Welke gegevens mag je wel en niet aan de leidinggevende beschikbaar stellen?
Wie mag welke personeelsgegevens inzien?
Ondersteuners, adviseurs en personeelsfunctionarissen maken deel uit van de organisatie die de persoonsgegevens verwerkt. Ter uitvoering van de arbeidsovereenkomst of de ambtelijke aanstelling mogen deze functionarissen personeelsgegevens inzien. Maar alleen die gegevens die noodzakelijk zijn voor de uitvoering van de functie. Dit betekent dat de taak van de functionaris de toegang moet kunnen rechtvaardigen. Voor de leidinggevende is het alleen nodig om toegang te hebben tot de persoonsgegevens van medewerkers die onder zijn leiding vallen en die noodzakelijk zijn voor de uitoefening van de functie. Inzage door ondersteuners of personeelsfunctionarissen van persoonsgegevens moet beperkt blijven tot de gegevens van medewerkers die vallen onder de afdelingen die door hen worden ondersteund en die nodig zijn voor de uitoefening van de functie.
Persoonsgegevens bij een zieke medewerker
Als een medewerker zich ziek heeft gemeld, wil de werkgever graag weten wat de gevolgen zijn voor de werkzaamheden. Op welke termijn valt herstel te verwachten? Wat is noodzakelijk voor re-integratie? Welke taken kan de medewerker nog wel verrichten tijdens de re-integratie? Het is werkgevers echter niet toegestaan om te informeren naar de aard en oorzaak van de ziekte van hun medewerkers. Alleen de arbodienst of bedrijfsarts mag deze medische gegevens verwerken. De vragen van de werkgever moeten zich dus beperken tot vragen over de gevolgen van de ziekte van de medewerker voor de werkzaamheden. De bedrijfsarts of arbodienst mag vervolgens alleen de noodzakelijke gegevens aan de werkgever doorgeven. Bijvoorbeeld gegevens die de werkgever nodig heeft om te beoordelen of hij loon moet doorbetalen. Of gegevens die nodig zijn voor verzuimbegeleiding en re-integratie. Over het ziektebeeld zelf mag de arbodienst of bedrijfsarts geen informatie aan de werkgever verstrekken.
Inzet van observatiecamera’s door de werkgever
Een werkgever mag uiteraard niet zo maar camera’s inzetten om zijn medewerkers in de gaten te houden. Als het voor bepaalde ruimtes noodzakelijk is om cameratoezicht te houden, bijvoorbeeld bij een balie in voor publiek toegankelijke ruimtes, dan mag dat alleen als daar beleid voor is opgesteld en dat is voorgelegd aan de ondernemingsraad of de personeelsvertegenwoordiging. De inzet van camera’s moet bekend zijn gemaakt.
Het in het geheim observeren van medewerkers door het inzetten van observatiecamera’s grijpt diep in op de persoonlijke levenssfeer en is in beginsel niet toegestaan. Alleen als er sprake is van een concreet vermoeden dat er wordt gestolen, gefraudeerd of op een andere wijze onrechtmatig wordt gehandeld, dan kan het gebruik van in het geheim geplaatste camera’s wél toelaatbaar zijn om het bewijs van het onrechtmatig handelen te kunnen leveren. Er mag echter geen minder ingrijpend middel beschikbaar zijn om onderzoek te doen en de camera’s moeten gericht ingezet worden. Van een permanente heimelijke plaatsing van camera’s kan geen sprake zijn. Hoe langer de camera’s staan opgesteld, hoe groter de kans dat de rechter het gebruik daarvan niet proportioneel en in strijd met de privacywetgeving acht.
Bekijken van e-mails van de medewerker
Het openen van een e-mailbox van een medewerker moet worden beschouwd als de verwerking van persoonsgegevens in de zin van de Algemene verordening gegevensbescherming. Ook als het de zakelijke e-mailbox betreft. Als werkgever mag u de e-mailbox van het zakelijke account van uw medewerker alleen openen als daartoe een gerechtvaardigd belang aanwezig is. Dat kan bijvoorbeeld het geval zijn bij langdurige afwezigheid of als er een vermoeden is van ontoelaatbaar handelen of gedrag. In dergelijke gevallen kan kennis genomen worden van deze e-mails. Ook hier moeten de eisen van proportionaliteit en subsidiariteit in acht worden genomen. De inbreuk op de privacy van de medewerker moet in een juiste verhouding staan tot het belang van de werkgever bij kennisname van de e-mails. Ook moet geen ander, minder ingrijpend middel voorhanden zijn om tot hetzelfde doel te komen. Het openen van de e-mailbox van de medewerker moet gemotiveerd kunnen worden.
Personeelsgegevens verstrekken aan externen?
Aan externen mogen in beginsel zonder toestemming van de medewerker geen persoonsgegevens ter beschikking worden gesteld. Aan de politie mogen alleen persoonsgegevens worden verstrekt als de politie hier uitdrukkelijk en gericht om vraagt en daarbij aangeeft op welke wettelijke regeling dit is gebaseerd. Dat kan bijvoorbeeld op vordering van de rechter-commissaris in strafzaken. De grondslag om aan een deurwaarder persoonsgegevens te verstrekken ingeval van een loonbeslag is gelegen in de Gerechtsdeurwaarderswet.
Voor andere partijen, zoals een verzekeringsmaatschappij of een openbaar vervoersbedrijf, geldt dat persoonsgegevens alleen mogen worden doorgegeven ter uitvoering van een overeenkomst en met toestemming van de medewerker. Als de medewerker wil deelnemen aan de collectieve verzekering of via zijn werkgever een abonnement wil voor het openbaar vervoer, is de werkwijze dat de medewerker zelf een formulier invult. Daarin verklaart hij of zij dan onder meer toestemming te geven dat de persoonsgegevens, ter uitvoering van die betreffende overeenkomst, worden doorgegeven aan de verzekeringsmaatschappij of het openbaar vervoersbedrijf.
Privacy en personeelsdossier
In het personeelsdossier zijn algemene gegevens van de werknemer opgenomen omdat deze gegevens noodzakelijk zijn ter uitvoering van de arbeidsovereenkomst of aanstelling. Het gaat daarbij bijvoorbeeld om naam- en adresgegevens, geboortedatum, opleidingsgegevens etc.
Voor bijzondere persoonsgegevens, zoals medische gegevens, strafrechtelijke gegevens en informatie over iemands seksuele geaardheid of politieke voorkeur, geldt echter dat deze niet verzameld mogen worden tenzij de wet daar expliciet de mogelijkheid toe biedt. De reden hiervoor is dat voor bijzondere persoonsgegevens een apart, strenger regime geldt vanwege het gevoelige karakter daarvan.
Een functionaris die voor de uitoefening van zijn functie toegang heeft tot gewone persoonsgegevens, behoort niet per definitie ook toegang te hebben tot de bijzondere persoonsgegevens, ook al zijn deze legitiem verzameld. Dit kan opgelost worden door de gegevens bijvoorbeeld in een gesloten envelop bij het personeelsdossier te bewaren. Alleen als het werkelijk noodzakelijk en gerechtvaardigd is om van bedoelde persoonsgegevens kennis te nemen, kan worden besloten om in dat specifieke geval de envelop te openen.
Ondersteuning door Vijverberg Advocaten & Adviseurs
Heeft u vragen over privacy en de personeelspraktijk? Schakel ons kantoor in voor advisering of ondersteuning in privacykwesties. Ook als u overweegt om een klacht in te dienen bij de AP of op een andere wijze de rechtmatigheid van verwerking van persoonsgegevens aan de orde wilt stellen, kunt u bij ons terecht. Wij beschikken over privacyspecialisten die u graag bijstaan. U wordt dan op een professionele wijze door een praktisch ingestelde en deskundige jurist ondersteund en geadviseerd. Via Vijverberg kunt u ook een functionaris voor de gegevensbescherming raadplegen of een procesjurist inhuren. Mail of bel ons voor een vrijblijvend kennismakingsgesprek: 079 - 3631919.