GDPR – kan een werknemer geldig toestemming geven om (gevoelige) persoonsgegevens te verwerken?

GDPR – kan een werknemer geldig toestemming geven om (gevoelige) persoonsgegevens te verwerken?

In een beslissing van 9 november 2020, gaf de Gegevensbeschermingsautoriteit (GBA) meer duidelijkheid over de mogelijkheid voor een werknemer om toestemming te geven voor de verwerking van (al dan niet gevoelige) persoonsgegevens door de werkgever in het kader van de Algemene Verordening Gegevensverwerking (AVG of GDPR).

De feiten van de zaak kunnen als volgt samengevat worden:

De werkgever, een ziekenhuis, verwerkte vakbondsgegevens van werknemers die aangesloten waren bij vakbond B en gebruikte deze gegevens uitsluitend voor de gevraagde inhouding van vakbondsbijdragen op het loon van de betrokken werknemers. Dit werd ingevoerd op een moment dat vakbond B de enige vakbondsdelegatie was binnen het ziekenhuis en uitsluitend op grond van een mondelinge overeenkomst tussen het ziekenhuis en de vakbond. Werknemers die hiervan gebruik wilden maken, gaven aan het ziekenhuis een schriftelijk mandaat om deze inhouding op hun loon uit te voeren.

Wanneer later een tweede vakbondsorganisatie, vakbond A, werd aangesteld binnen het ziekenhuis, werd hen eveneens voorgesteld om aan het systeem van looninhoudingen deel te nemen. Vakbond A weigerde dit echter en liet weten dat zij dit systeem in strijd met de wet beschouwden.

Uiteindelijk komt de zaak voor de Geschillenkamer van de GBA. Deze stelt vast dat de verwerking van gegevens over het vakbondslidmaatschap, een verwerking van “bijzondere categorieën van persoonsgegevens” uitmaakt (ook wel “gevoelige gegevens” genoemd). Dergelijke verwerking is onder de GDPR principieel verboden, tenzij voldaan is aan één van de wettelijke uitzonderingen, zoals bijvoorbeeld de uitdrukkelijke toestemming van de betrokkene. De Geschillenkamer benadrukt dat deze toestemming vrij, specifiek, geïnformeerd ondubbelzinnig en uitdrukkelijk moet gebeuren.

Vervolgens controleert de Geschillenkamer of aan elkéén van deze vereisten is voldaan:

  • Vrij : de vereiste van een vrije toestemming wordt klassiek als een delicaat punt gezien in de verhouding werknemer-werkgever. De Geschillenkamer wijst op het machtsonevenwicht tussen beide partijen, wat zou kunnen leiden tot een gebrekkige toestemming. Ondanks dit risico, kan de werknemer toch rechtsgeldig zijn toestemming geven wanneer de werkgever geen enkel voordeel uit de gegevensverwerking haalt. De werknemers in kwestie werden geacht hun vrije toestemming gegeven te hebben omdat de verwerking louter en alleen in hun eigen voordeel gebeurde en er geen enkel voordeel voor de werkgever bewezen kon worden.
  • Specifiek : het schriftelijke mandaat beperkte zich tot één specifiek doel, namelijk de verwerking in het kader van de inhoudingen op het loon en was aldus voldoende specifiek.
  • Geïnformeerd : om te controleren of de toestemming voldoende geïnformeerd gebeurt, moet nagegaan worden of de betrokken personen informatie kregen over o.a. de identiteit van de gegevensverwerker, de gegevens die verzameld of gebruikt worden en het bestaan van het recht om de toestemming terug in te trekken. In dit geval werd nergens in het mandaat melding gemaakt van het recht op intrekking, waardoor de informatie niet op een voldoende geïnformeerde manier gebeurde. De Geschillenkamer stelde dan ook een schending van de GDPR op dit punt vast.
  • Expliciet : de betrokken werknemers ondertekenden telkens een schriftelijk mandaat en gaven alzo hun expliciete (en dus ook uitdrukkelijke) toestemming.

Als volgende stap controleerde de Geschillenkamer of de gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld werden.

De Geschillenkamer oordeelde hierbij dat de gegevens niet voor uitdrukkelijk omschreven doeleinden verzamelden werden en uitte voornamelijk kritiek op het feit dat de verwerking gebaseerd was op een mondelinge overeenkomst tussen de vakbond en de ziekenhuisdirectie. Het louter vermelden van het legitieme doel in het individuele mandaat zou volgens de GBA evenmin volstaan. Om transparantie en voorspelbaarheid te verzekeren was het belangrijk dat ook eventuele andere belanghebbende collega’s afdoende geïnformeerd werden.

De Geschillenkamer besloot dat het gebrek aan een schriftelijke overeenkomst met de vakbond in strijd was met de GDPR De afwezigheid van dergelijke overeenkomst werkt volgens de GBA onzekerheid over de concrete grenzen en modaliteiten van de gegevensverwerking in de hand en werd dan ook (mede gelet op de gevoelige aard van de gegevens) als een aanzienlijke nalatigheid aangemerkt.

Hoewel de GBA een schending vaststelde, is het opmerkelijk dat zij besloot om toch geen sanctie aan de werkgever op te leggen. Het feit dat de gegevensverwerking reeds in 2019 stopgezet werd speelde hier ongetwijfeld een belangrijke rol .

Deze uitspraak van de GBA bevestigt de mogelijkheid voor werknemers om op een geldige manier hun toestemming te geven tot het verwerken van persoonsgegevens. Anderzijds illustreert de beslissing opnieuw het belang van duidelijke, schriftelijke afspraken aangaande de gegevensverwerking van werknemers, zowel individueel als collectief.

Heeft u verdere vragen over dit thema? Contacteer Sara Cockx (hoofd vakgroep Privacy & Gegevensbescherming) of Kiandro Lebon (auteur).