Marie-Chantal van Oss Marie-Chantal van Oss

Ondernemingsraad speelt cruciale rol bij privacy op de werkvloer

Nederlanders maken zich in toenemende mate zorgen over hun privacy. Privacy is een grondrecht en een voorwaarde om vrij te zijn in wie je bent en wat je doet. Privacy op de werkvloer gaat er met name over dat de werknemer zeggenschap over zijn of haar eigen persoonsgegevens houdt. Persoonsgegevens worden onder meer verwerkt bij de screening van personeel, personeelsdossiers, camera’s op de werkvloer en registratie van ziekteverzuim. Rekening houden met de privacy van werknemers is daarbij uiteraard van groot belang. De ondernemingsraad (OR) kan hierin een cruciale rol vervullen.

Instemmingsrecht OR

De Wet op de Ondernemingsraden (WOR) bepaalt dat een werkgever de OR moet vragen om instemming bij een voorgenomen besluit over een regeling ter zake van:

De OR is dus medeverantwoordelijk voor de omvang en de bescherming van persoonsgegevens op het werk.

Regelingen met betrekking tot het verwerken van persoonsgegevens

Regelingen voor het verwerken van persoonsgegevens van medewerkers komen in elke organisatie voor. Denk bijvoorbeeld aan het registreren van verzuim, de salarisadministratie en de gegevens die worden bewaard in personeelsdossiers.

Persoonsgegevens

Een “persoonsgegeven” in de zin van de Algemene Verordening Gegevensbescherming (AVG) is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het kan om allerlei soorten informatie gaan: niet alleen om voor de hand liggende gegevens als iemands naam, adres en telefoonnummer, maar ook om eigenschappen van deze persoon, opvattingen of gedrag.

Voorbeelden van persoonsgegevens zijn:

Van een persoonsgegeven is pas sprake als de identiteit van de persoon over wie de informatie gaat ook redelijkerwijs kan worden vastgesteld. Dat kan direct, maar ook indirect: bijvoorbeeld wanneer door het combineren van verschillende gegevens over een persoon kan worden afgeleid om wie het gaat. De informatie moet individualiseerbaar zijn.

Geen persoonsgegevens zijn bijvoorbeeld: gegevens over het telefoongebruik binnen de organisatie die niet tot individuele werknemers te herleiden zijn en gegevens die tot een geheel zijn samengevoegd (geaggregeerde gegevens) over het personeelsbestand van een bedrijf met een redelijke omvang.

Bijzondere persoonsgegevens

Naast “gewone” persoonsgegevens kent de AVG ook “bijzondere persoonsgegevens”. Dat zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn. Deze persoonsgegevens krijgen extra bescherming in de AVG. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens waaruit iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond blijken. Daarnaast kan het gaan om genetische gegevens, biometrische gegevens (gebruikt om iemand te identificeren), gegevens over iemands gezondheid of gegevens over iemands seksueel gedrag of seksuele gerichtheid.

Voorbeelden van bijzondere persoonsgegevens op het werk zijn:

De verwerking van bijzondere persoonsgegevens is verboden, tenzij de onderneming zich kan beroepen op een wettelijke uitzondering (zoals genoemd in artikel 9 lid 2 AVG).

Regeling met betrekking tot personeelsvolgsysteem

Werkgevers kunnen systemen gebruiken die gericht zijn op – of geschikt zijn voor – waarneming van werknemers of controle van hun aanwezigheid, gedrag of prestaties. Dit noemen we personeelsvolgsystemen. Voorbeelden hiervan zijn cameratoezicht, gps-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registreert. Gebruikt een werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Ook dan is dit een personeelsvolgsysteem.

Wanneer is sprake van verwerking en wie is verwerkingsverantwoordelijke?

Van verwerking van persoonsgegevens is bijvoorbeeld sprake als er gegevens worden verzameld, vastgelegd, geordend, gestructureerd, opgeslagen, bijgewerkt, gewijzigd, opgevraagd, geraadpleegd, gebruikt, doorgestuurd, verspreid, gecombineerd, afgeschermd, gewist of vernietigd.

Over het algemeen is de werkgever (de ondernemer in de zin van de WOR) de verwerkingsverantwoordelijke bij de verwerking van personeelsgegevens. De AVG schrijft voor dat de verwerkingsverantwoordelijke en de verwerker afspraken maken over de verwerking in een verwerkersovereenkomst. Voorbeelden van verwerkers zijn salarisadministratiebureaus en IT-dienstverleners.

De AVG stelt strikte eisen aan het verwerken van persoonsgegevens die zijn uitgewerkt in een aantal beginselen:

Schakel tijdig de OR in

De werkgever moet voorgenomen besluit schriftelijk aan de OR voorleggen. Daarbij geeft de werkgever de beweegredenen voor het besluit en de gevolgen die het besluit voor de werknemers zal hebben.

De OR toetst de regeling voordat zij er wel of niet mee instemt. Om door de werkgever voorgestelde regeling goed te kunnen beoordelen, is het belangrijk dat de OR goed voorbereid is. En dat de OR waar nodig kritische vragen aan de werkgever stelt. Om de OR daarbij te ondersteunen, heeft de Autoriteit Persoonsgegevens (AP) in april 2021 een handreiking gepubliceerd: het OR-privacyboekje. In dit OR-privacyboekje zijn voorbeelden opgenomen van  kritische vragen die de OR kan stellen zoals:

De AP adviseert de OR verder ook om met de functionaris gegevensbescherming (FG) in gesprek te gaan over de verwerking van persoonsgegevens van werknemers. Zo kan de OR het advies van de FG opvragen en de FG tijdens een OR-bijeenkomst uitnodigen om een toelichting te geven.

Na het besluit van de OR moet door de werkgever zo spoedig mogelijk schriftelijk aan de OR worden medegedeeld welk besluit is genomen en met ingang van welke datum het besluit wordt uitgevoerd.

Als de OR niet instemt met het voorgenomen besluit kan de werkgever de Kantonrechter om vervangende toestemming vragen.

Initiatiefrecht

De OR heeft overigens ook initiatiefrecht. Dit betekent dat zij zich ook op eigen initiatief, zonder dat de werkgever daar om heeft gevraagd,  kan uitspreken over het gebruik van personeelsgegevens. Bijvoorbeeld na vragen of klachten van werknemers of wanneer de OR vindt dat de werkgever actie moet ondernemen.

Conclusie

De OR is dus nauw betrokken bij de wens van een werkgever om gebruik te maken van persoonsgegevens en personeelsvolgsystemen. Als voor een besluit geen instemming van de OR of toestemming van de kantonrechter is verkregen is het ongeldig.

___________________________________________

Heeft u vragen die samenhangen met de rol van de OR in het kader van de AVG? Neem dan contact op met mr. Marie-Chantal Beliën-van Oss of één van onze andere arbeidsrechtspecialisten.