Over privacyrechten van werknemers en de AVG
Opinie Artikel-29 werkgroep over privacyrechten van werknemers
Privacyrechten
Eerder schreef ik al over privacyrechten van medewerkers en over de voor- en nadelen van Bring Your Own Devices. De actualiteit van deze onderwerpen blijkt mede uit de nieuwe opinie die is opgesteld door de Europese privacytoezichthouders waarmee werkgevers kunnen zorgen voor een goede balans tussen hun belangen en de bescherming van de privacy van werknemers. Deze opinie is van belang, zo geeft de Artikel 29-werkgroep aan, doordat werkgevers steeds gemakkelijker, en meer geavanceerde, technieken kunnen inzetten die impact kunnen hebben op de privacy van medewerkers. Daarnaast vervagen de grenzen tussen privé en zakelijk. Bijvoorbeeld doordat werknemers steeds meer op afstand gaan werken en ook hun privé devices zakelijk gaan gebruiken.
Technieken privacy vriendelijk inzetten
De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, benoemen in hun opinie “Opinion 2/2017 on data processing at work” een aantal technologieën die steeds vaker binnen organisaties worden toegepast. De werkgroep noemt onder meer technologie om internetverkeer te beveiligen, Mobile Device Management (MDM), het netwerkverkeer te monitoren, het principe van Bring Your Own Device (BYOD), het gebruik van wearables (bijvoorbeeld fitness devices) en het gebruik van persoonsgegevens uit sociale media van (toekomstige) werknemers. De werkgroep draagt in haar opinie voorbeelden aan, hoe werkgevers deze technieken en toepassingen op een privacy vriendelijke wijze kunnen inzetten.
De werkgroep benadrukt in haar conclusie dat werkgevers slecht zelden een beroep kunnen doen op een eventuele toestemming van werknemers voor de verwerking van hun persoonsgegevens. Werknemers verkeren immers in een afhankelijkheidspositie waardoor zij doorgaans geen vrije toestemming kunnen geven.
The fact that an employer has the ownership of the electronic means does not rule out the right of employees to secrecy of their communications, related location data and correspondence.
Er zijn omstandigheden waaronder een inbreuk op dit privacyrecht gerechtvaardigd kan zijn. Zoals ik eerder in een artikel heb geschreven heeft de Hoge Raad in 2007 een uitspraak gedaan waarin er is geoordeeld dat de inbreuk op de persoonlijke levenssfeer van de werknemer gerechtvaardigd kan zijn wanneer er is voldaan aan het noodzakelijkheidscriterium, het subsidiariteitscriterium en het proportionaliteitscriterium. Aan deze drie criteria is vervolgens een vierde criterium toegevoegd, namelijk de medewerker dient ervan op de hoogte te zijn dat zijn mailberichten mogelijkerwijs worden bekeken. Evenals uit deze jurisprudentie naar voren komt noemt de werkgroep dat werkgevers monitoring alleen mogen inzetten als dit noodzakelijk is, het doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy en dat de bewerking proportioneel is.
Transparantie
Daarbij komt dat werkgevers transparant dienen te zijn en hun werknemers goed dienen te informeren wanneer er technologieën worden ingezet waarmee werknemers gevolgd kunnen worden. Hierbij dient de werkgever te motiveren waarom dit gebeurt en op welke manier de risico’s voor werknemers worden beperkt. De werkgroep geeft nog een specifiek aanbeveling voor werknemers die cloud- of online applicaties gebruiken. Wanneer werknemers gebruik maken van online applicaties, zoals online Office applicaties, moeten werkgevers overwegen om werknemers in staat te stellen bepaalde privéruimtes aan te wijzen waartoe de werkgever onder geen enkele omstandigheid toegang mag krijgen, zoals een privé-mail of documentmap.