Als ja misschien toch nee is: de toestemming van de werknemer

advertisement
overig
Als ja misschien toch nee is: de toestemming van de werknemer voor de
verwerking van persoonsgegevens
Mw. Mr. F.C. vAn der JAgt
werkgevers verwerken op allerlei wijzen persoonsgegevens van hun werknemers. Op grond van de wet
bescherming persoonsgegevens (wbp) dient de werkgever hiertoe onder meer een grondslag op basis van
art. 8 wbp te hebben. een van deze grondslagen is het vragen van ondubbelzinnige toestemming aan de
werknemer. In de praktijk zitten hier de nodige haken en ogen aan, die in dit artikel uiteen worden gezet.
Inleiding
Op 18 april jl. presenteerde het College bescherming persoonsgegevens (Cbp) zijn agenda voor 2013.1 Een van de
thematische speerpunten voor dit jaar vormt de gegevensverwerking binnen de arbeidsrelatie.
Werkgevers verwerken op allerlei wijzen persoonsgegevens van hun werknemers. Hierbij kan onder meer gedacht
worden aan de gegevensverwerking in het kader van de
verzuimregistratie, het screenen van werknemers voor en
tijdens het dienstverband, het doen van onderzoek naar
wangedrag op de werkvloer, de controle van internet- en
e-mailgebruik, het uitbetalen van salarissen en het instellen
van klokkenluidersregelingen.
Vanuit privacytechnisch oogpunt geldt dat een werkgever
een grondslag op basis van de Wet bescherming persoonsgegevens (Wbp) moet hebben voor de verwerking van persoonsgegevens van werknemers. Vaak kiest een werkgever
ervoor om, zeker in het geval van een Nederlands bedrijf
dat onderdeel uitmaakt van een internationaal concern, een
werknemer om toestemming voor de verwerking van zijn
persoonsgegevens te vragen. In de arbeidsovereenkomst
wordt dan bijvoorbeeld de volgende bepaling opgenomen:
‘Werkgever houdt zich aan de Wet bescherming persoonsgegevens. De werknemer geeft aan de werkgever
ondubbelzinnig toestemming om zijn persoonsgegevens te
verwerken in het kader van de arbeidsverhouding.’
De vraag is echter of het vragen van toestemming aan de
werknemer in dit soort situaties een correcte grondslag
onder de Wbp vormt. In dit artikel wordt eerst in het kort
het privacyrechtelijke kader geschetst. Daarna worden
de haken en ogen die verbonden zijn aan het werken met
1
148
Zie: http://www.cbpweb.nl/Pages/ind_cbp_agenda_2013.aspx.
toestemming voor de verwerking van persoonsgegevens
toegelicht en worden alternatieven besproken.
Achtergrond
Er bestaat in Nederland geen algemeen wetsartikel
aangaande de privacy van werknemers. Op grond van
art. 10 van de Grondwet (Gw) heeft eenieder het recht op
de bescherming van zijn persoonlijke levenssfeer (lid 1)
en worden bij wet regels gesteld ter bescherming van de
persoonlijke levenssfeer in verband met het vastleggen en
verstrekken van persoonsgegevens (lid 2). Ook dient de wet
regels te stellen omtrent de mogelijkheden voor personen
om inzage te krijgen in de persoonsgegevens die over hen
worden verwerkt, het gebruik dat daarvan wordt gemaakt
en de mogelijkheden die er zijn om incorrecte gegevens
te verbeteren (lid 3). Art. 10 Gw vormde de basis voor
de invoering van de Wet persoonsregistraties (Wpr) in
1989.2 Om de bescherming van persoonsgegevens binnen
de Europese Unie naar een hoger niveau te brengen, trad
in 1995 de Europese Privacyrichtlijn (de Richtlijn) in
werking.3 Bij de implementatie van deze Richtlijn in de
Nederlandse wetgeving werd de Wpr vervangen door de
Wbp.4,5 In arbeidsrechtelijke relaties komt de privacy van
2
3
4
5
Wet van 28 december 1988, houdende regels ter bescherming van
de persoonlijke levenssfeer in verband met persoonsregistraties (Wet
persoonsregistraties), Stb. 1988, 665.
richtlijn 95/46/eg van het europees Parlement en de raad van 24
oktober 1995 betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en betreffende het
vrije verkeer van die gegevens (PbEG 1995, L 281/31).
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Stb. 2000, 302.
Het recht op privacy is op internationaalrechtelijk niveau onder meer
verankerd in art. 17 internationaal verdrag inzake Burgerrechten en
Politieke rechten (ivBPr) en op europeesrechtelijk niveau in art. 8
europees verdrag voor de rechten van de Mens (evrM), in het verdrag
tot bescherming van personen met betrekking tot de geautomatiseerde
verwerking van persoonsgegevens van de raad van europa (Conventie
SDU UITGEVERS / NUMMER 4, MEI 2013 TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK
Als jA misschien toch nee is: de toestemming vAn de werknemer voor de verwerking vAn persoonsgegevens
de werknemer vaak aan bod bij de belangenafweging van
art. 7:611 Burgerlijk Wetboek (BW).
werkgever een grondslag voor de verwerking van persoonsgegevens hebben (art. 8 Wbp).8
Het verwerken van persoonsgegevens onder de
wbp
grondslagen voor de verwerking van persoonsgegevens
De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op
de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand6 (bijvoorbeeld een kaartenbak) zijn
opgenomen (art. 2 lid 1 Wbp). Kernbegrippen van de wet
zijn dan ook het begrip ‘persoonsgegeven’ en het begrip
‘verwerking’. Een persoonsgegeven is kort gezegd elk
gegeven betreffende een geïdentificeerde of een identificeerbare persoon (art. 1 sub a Wbp). Het begrip ‘verwerking’
ziet op alle handelingen die met betrekking tot de persoonsgegevens kunnen worden verricht (art. 1 sub b Wbp), zoals
het opslaan, ordenen en bewaren van gegevens maar ook
het vernietigen daarvan. Beide begrippen worden ruim
uitgelegd.7 Zo worden een IP-adres, de reisgegevens van
de ov-chipkaart en de foto daarop, maar ook bepaalde
informatie van Wi-Fi-routers, aangemerkt als persoonsgegevens.
De zes grondslagen voor de verwerking van persoonsgegevens door een verantwoordelijke zijn limitatief opgesomd
in art. 8 van de Wbp, dat stelt dat persoonsgegevens alleen
mogen worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige
toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij
is, of voor het nemen van precontractuele maatregelen
naar aanleiding van een verzoek van de betrokkene en
die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring
van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede
vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan
waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens
worden verstrekt, tenzij het belang of de fundamentele
rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
In het licht van de arbeidsverhouding zal een werkgever
vaak bepaalde persoonsgegevens van een werknemer in
onder meer zijn personeelsadministratie willen verwerken.
Het kan hierbij bijvoorbeeld gaan om de NAW-gegevens,
BSN-nummers, gegevens betreffende de gezondheid van
de werknemers en bankrekeningnummers. De werkgever
bepaalt welke persoonsgegevens hij van de werknemer
verwerkt: hij is de zogenaamde ‘verantwoordelijke’ in
de zin van de Wbp (art. 1 sub d Wbp). De werknemer is
degene van wie de gegevens worden verwerkt, of te wel de
‘betrokkene’ (art. 1 sub f Wbp). De meeste verplichtingen
van de Wbp rusten op de verantwoordelijke.
De Wbp geeft een aantal basisregels waaraan de werkgever
zich moet houden. Zo moet de werkgever onder meer de
persoonsgegevens behoorlijk en zorgvuldig verwerken
(art. 6 Wbp), mogen de persoonsgegevens alleen worden
verwerkt voor welbepaalde, uitdrukkelijk omschreven
en gerechtvaardigde doeleinden (art. 7 Wbp) en moet de
6
7
108), in art. 7 en 8 van het Handvest van de grondrechten van de europese Unie en in art. 16 van het verdrag betreffende de werking van de
europese Unie (vweU).
Zie voor de definitie van ‘bestand’ art. 1 sub c Wbp.
Zie onder meer: Artikel 29 Werkgroep: Advies 4/2007 over het begrip
persoonsgegeven, goedgekeurd op 20 juni 2007, WP 136. Deze opinie en
de andere opinies van de Werkgroep waarnaar verwezen wordt in dit
artikel zijn te raadplegen op: http://ec.europa.eu/justice/data-protection/
article-29/documentation/opinion-recommendation/index_en.htm. Zie
ook: rb. Middelburg 15 maart 2012, LJN Bv8942 (in deze zaak worden
prejudiciële vragen gesteld inzake de uitleg van het begrip ‘persoonsgegeven’), CrvB 7 maart 2012, LJN BU1965 (het openen van een e-mailbox
is als een gegevensverwerking aan te merken) en rb. oost-Brabant 31 januari 2013, LJN BZ2126 (in deze opvallende uitspraak heeft de rechtbank
aangegeven dat het hyperlinken naar een website die persoonsgegevens bevat, is aan te merken als een verwerking van persoonsgegevens).
TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK NUMMER 4, MEI 2013 / SDU UITGEVERS
Ik zal eerst een korte toelichting geven op de verwerkingsgronden zoals opgenomen onder sub b tot en met f. Daarna
ga ik in de volgende paragraaf in op de grondslag van ‘ondubbelzinnige toestemming’.
toelichting overige grondslagen wbp
Een werkgever kan een persoonsgegevensverwerking
baseren op het feit dat het noodzakelijk is om deze gegevens
te verwerken voor de uitvoering van de overeenkomst met de
betrokkene (sub b). Een voorbeeld hiervan is het verwerken
van het bankrekeningnummer van een werknemer om
zo tot loonbetaling conform de arbeidsovereenkomst
over te kunnen gaan. Persoonsgegevensverwerking kan
ook noodzakelijk zijn om te voldoen aan een wettelijke
verplichting waaraan een werkgever onderworpen is (sub
c).9 Zo moet een werkgever op grond van de Wet op de
8
9
gelet op de reikwijdte van dit artikel wordt niet ingegaan op de overige
verplichtingen die op grond van de Wbp op de werkgever rusten.
Het moet dan wel gaan om een nationaal wettelijke verplichting, zie
Artikel 29 Werkgroep: Advies 1/2006 over de toepassing van de EUgegevensbeschermingsregels op interne klokkenluidersregelingen in de
149
overig
Loonbelasting een kopie van het identiteitsbewijs van een
werknemer in zijn administratie opslaan.10
Een werkgever zal niet snel te maken krijgen met de
grondslag van het vitale belang (sub d). Het gaat hierbij om
de verwerking van persoonsgegevens in het kader van een
dringend medische noodzaak. De memorie van toelichting
(MvT) bij de Wbp geeft als voorbeeld de situatie waarin
iemand buiten bewustzijn is geraakt en dringend medische
hulp nodig heeft. In dat geval is het toegestaan om in
iemands kleding op zoek te gaan naar identiteitsgegevens
Het is raadzaam om een van de andere grondslagen
van de Wbp te kiezen
en deze door te geven aan de medische hulpdiensten.11 Het
kan ook zo zijn dat een werkgever bepaalde gegevens aan
een publiekrechtelijk orgaan moet verschaffen, zodat dit
orgaan zijn taken kan uitvoeren (sub e). Een voorbeeld is
hiervan dat een werkgever indien hij een ontslagvergunning wil aanvragen, bepaalde persoonsgegevens van de
werknemer aan het UWV moet verstrekken.
Tot slot biedt de wet nog een soort vangnetbepaling: een
werkgever kan persoonsgegevens van een werknemer
verwerken indien dit noodzakelijk is voor een gerechtvaardigd belang van de werkgever zelf of van een derde, dat
zwaarder weegt dan de inbreuk die hiermee op de privacy
van de werknemer wordt gemaakt (sub f). Bij een beroep
op deze verwerkingsgrond moet altijd een belangenafweging plaatsvinden. Daarbij moeten steeds de eisen van proportionaliteit (de inbreuk op de privacy van de werknemer
mag niet onevenredig zijn in verhouding tot het doel van
de gegevensverwerking) en subsidiariteit (zijn er minder
vergaande middelen voor de werkgever beschikbaar om dit
doel te bereiken?) in acht worden genomen.12
de ondubbelzinnige toestemming van de werknemer
Persoonsgegevens kunnen in beginsel ook worden verwerkt
indien hiervoor ondubbelzinnige toestemming van de
betrokkene wordt verkregen (sub a). Op grond van art. 1
sub i Wbp wordt het begrip ‘toestemming’ aldus uitgelegd
dat het hierbij gaat om: ‘elke vrije, specifieke, op informatie
berustende wilsuiting waarmee de betrokkene aanvaardt
dat de hem betreffende persoonsgegevens worden
verwerkt.’ De toestemming moet volgens de MvT bij de
Wbp aan drie eisen voldoen: (i) de betrokkene moet zijn
sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding
van omkoping en bancaire en financiële criminaliteit, goedgekeurd op 1
februari 2006, WP 117, p. 18 en College bescherming persoonsgegevens
(Cbp), 16 januari 2006, z2004-1233).
10 Art. 6a sub c Wet op de loonbelasting 1964.
11 Kamerstukken II 1997/98, 25 892, nr. 3 (MvT), p. 84.
12 Deze beginselen vloeien voort uit art. 8 evrM.
150
wil met betrekking tot de gegevensverwerking in vrijheid
kunnen uiten en ook daadwerkelijk hebben geuit; (ii) de
wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen; en (iii) er moet sprake zijn van informed
consent.13 Ik licht deze eisen hierna toe.
De eis van vrije wilsuiting brengt met zich dat geen sprake
is van rechtsgeldige toestemming indien een betrokkene
onder druk is gezet om toestemming te verlenen of indien
hij, door de verhouding die hij heeft ten opzichte van de
verantwoordelijke, zich genoodzaakt ziet om toestemming
te verlenen.14 Het bestaan van een dergelijke gezagsverhouding is in de relatie werknemer-werkgever evident: het
weigeren van toestemming kan immers grote gevolgen,
zoals disciplinaire sancties en mogelijk zelfs ontslag, voor
een werknemer hebben.15 Het bestaan van de gezagsverhouding leidt er reeds toe dat toestemming geen goede
verwerkingsgrond vormt voor de verwerking van persoonsgegevens in het kader van een arbeidsrelatie. De
Artikel 29 Werkgroep (de Werkgroep), het onafhankelijke
adviesorgaan op privacygebied dat de Europese Commissie
adviseert, heeft zich hier meermalen kritisch over uitgelaten.
Zo stelde de Werkgroep in een opinie uit 2001 die specifiek
ziet op de verwerking van persoonsgegevens in het kader
van de arbeidsverhouding al dat wanneer een werkgever als
noodzakelijk en onvermijdbaar gevolg van de arbeidsverhouding persoonsgegevens moet verwerken, het misleidend
is indien hij deze verwerking door middel van toestemming
tracht te wettigen. Alleen indien de werknemer een echt
vrije keuze heeft en nadien de mogelijkheid heeft om
zijn toestemming zonder nadeel in te trekken, kan de
verwerking van de persoonsgegevens op toestemming
worden gebaseerd.16 Dit standpunt is genuanceerd in een
opinie van de Werkgroep uit 2011 die specifiek ziet op
definitie van het begrip ‘toestemming’ uit de Privacyrichtlijn.17 De Werkgroep geeft hierbij aan dat in het kader van
arbeidsverhoudingen ook culturele en sociale aspecten
een rol spelen. Volgens de Werkgroep kan een situatie van
ondergeschiktheid vaak de belangrijkste reden vormen
om aan te nemen dat de toestemming niet in vrijheid is
verleend. Het is echter niet zo dat een werkgever nooit
meer kan terugvallen op toestemming als grondslag voor
de gegevensverwerking, zolang er voldoende waarborgen
zijn dat de toestemming werkelijk in vrijheid is gegeven.18
13 Supra noot 11, p. 65.
14 Art. 3:33 en 3:35 BW zijn via art. 3:59 BW van overeenkomstige toepassing.
15 Zie ook Cbp 23 augustus 2012, z2011-00959, waarin de toestemming van
de werknemer voor het verwerken van psychologische testresultaten
volgens het Cbp geen grondslag voor gegevensverwerking vormde nu
het weigeren van deelname aan de test kon leiden tot ontslag.
16 Artikel 29 Werkgroep: Advies 8/2001 over de verwerking van persoonsgegevens in het kader van de arbeidsverhouding, goedgekeurd op 13
september 2001, WP 48, p. 23.
17 Artikel 29 Werkgroep: Advies 15/2011 over de definitie van het begrip
‘toestemming’, goedgekeurd op 13 juli 2011, WP 187.
18 Supra noot 16, p. 17.
SDU UITGEVERS / NUMMER 4, MEI 2013 TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK
Als jA misschien toch nee is: de toestemming vAn de werknemer voor de verwerking vAn persoonsgegevens
Een praktijkvoorbeeld: een werkgever biedt zijn
werknemers de mogelijkheid om met korting lid te worden
van een sportschool. Indien een werknemer dit wil, zal de
werkgever met de sportschool de naam en de abonnementsgegevens van de werknemer uitwisselen, zodat de korting
via de loonuitbetaling kan worden verwerkt. Het staat de
werknemer volledig vrij om al dan niet lid te worden van
de sportschool. Indien de werknemer dan aan de werkgever
toestemming geeft om tot uitwisseling van zijn gegevens
met de sportschool over te gaan, kan deze toestemming
geacht worden vrijelijk te zijn gegeven.
Het tweede aspect van de eis van vrije wilsuiting is dat deze
ook daadwerkelijk moet zijn geuit. Dit betekent dat er geen
sprake kan zijn van stilzwijgende of impliciete toestemming.
Een voorbeeld hiervan is wanneer in algemene voorwaarden
op een website wordt aangegeven dat men door het gebruik
van de website expliciete toestemming verleent aan de verantwoordelijke om de daarop verstrekte persoonsgegevens te verwerken. Degene die de toestemming verleent, zal
hiertoe een actieve handeling moeten verrichten.19
De tweede eis houdt kort gezegd in dat de betrokkene moet
weten waar hij toestemming voor geeft. Hij moet weten
welke persoonsgegevens er worden verwerkt, voor welke
doeleinden. Ook moet duidelijk zijn aan wie de gegevens
mogelijkerwijs worden verstrekt. De toestemming moet
dus voldoende specifiek zijn. Het moet niet zo zijn dat de
betrokkene later wordt geconfronteerd met een verwerking
waarvan hij helemaal niet door had dat hij hiervoor zijn
toestemming heeft gegeven.20
Hiermee hangt de derde eis sterk samen: de betrokkene
moet voldoende en op een begrijpelijke manier worden
geïnformeerd over de gegevensverwerking. Wel is het zo
dat er ook op de betrokkene een bepaalde onderzoeksplicht rust: hij kan niet stil blijven zitten. De verhouding
tussen actief informeren door de verantwoordelijke en
de onderzoeksplicht van de betrokkene wordt beheerst
door hetgeen van partijen in het maatschappelijk verkeer
redelijkerwijs mag worden verwacht.21
Aan de gegevensverwerking op basis van art. 8 sub a Wbp
wordt nog een additionele eis gesteld: er moet sprake
zijn van ‘ondubbelzinnige’ toestemming. In de MvT is
aangegeven dat dit betekent dat de verantwoordelijke
ervoor moet zorgen dat elke twijfel over de vraag of en
waarvoor de betrokkene zijn toestemming heeft gegeven,
bij hem moet zijn uitgesloten.22
Als we bovenstaande eisen toepassen op de voorbeeldbepaling in de inleiding, wordt al snel duidelijk dat deze
bepaling privacyrechtelijk niet voldoet. Allereerst is het
19
20
21
22
Supra noot 11, p. 67.
Supra noot 11, p. 65.
ibid, p. 66.
ibid, p. 67.
TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK NUMMER 4, MEI 2013 / SDU UITGEVERS
gelet op de aanwezige gezagsverhouding niet aannemelijk
dat een werknemer zijn toestemming vrijelijk geeft: indien
hij dit niet doet, kan hij niet in dienst treden bij een
werkgever. Daarnaast geldt dat de categorie van gegevensverwerkingen wel is afgebakend (‘in het kader van de arbeidsverhouding’) maar dat niet wordt duidelijk gemaakt
welke gegevens er worden verwerkt, voor welke doeleinden
en of deze gegevens al dan niet worden gedeeld met derden.
Tot slot is eveneens van informed consent geen sprake.23
Een werkgever dient zich ervan bewust te zijn dat ook
indien derden worden ingeschakeld die in de uitvoering
Alleen indien de werknemer echt een vrije keuze
heeft, kunnen zijn persoonsgegevens op grond van
toestemming worden verwerkt
van diensten voor de werkgever met toestemming van
de werknemer gegevens van de werknemer verwerken,
dit problematisch kan zijn. Uit een recente uitspraak van
de Rechtbank Zwolle-Lelystad blijkt dat ook rechters
worstelen met de juiste toepassing van de Wbp.24 In
deze zaak wordt een werkgever geconfronteerd met een
anonieme e-mail waarin de algemeen secretaris van de
werkgever wordt beschuldigd van fraude en financieel
wanbeleid. De werkgever roept zijn werknemers bijeen om
de zaak te bespreken. Naar aanleiding van deze bespreking
leveren diverse werknemers hun laptop in, zodat deze kan
worden onderzocht door een recherchebureau dat door
de werkgever wordt ingeschakeld. Aan de werknemers is
toegezegd dat geen onderzoek in de privébestanden van
de werknemers zal plaatsvinden. Vervolgens vindt het
onderzoek plaats. Op een van de laptops blijkt een soort
jaarboek te staan dat door de desbetreffende werknemer
als dagboek wordt bijgehouden. In dit dagboek had de
werknemer naast aantekeningen over zijn gezinsleven en
zijn werk, ook observaties opgenomen over de bedrijfsvoering van de werkgever en de mogelijke (financiële)
wantoestanden. Het recherchebureau heeft op trefwoorden
de computer doorzocht. Nu het dagboek enige trefwoorden
uit de anonieme e-mail bevatte, heeft het recherchebureau dit dagboek integraal aan de werkgever verstrekt. De
relatie tussen de werkgever en de werknemer is hierdoor
dusdanig verstoord geraakt dat de arbeidsovereenkomst
met wederzijds goedvinden is beëindigd. De werknemer
vordert nu schadevergoeding van het recherchebureau
omdat het recherchebureau toch in privébestanden is
gaan snuffelen waardoor hij zijn baan is kwijtgeraakt.
Het recherchebureau meent dat de werknemer hiervoor
toestemming heeft gegeven doordat hij zijn laptop aan het
bureau heeft verstrekt. Hierdoor wist en gaf de werknemer
toestemming voor een onderzoek (inclusief de verwerking
23 Aan deze laatste twee eisen zou wellicht wel zijn voldaan indien aan
de arbeidsovereenkomst het privacybeleid van de organisatie, indien
aanwezig, wordt gehecht en hier actief naar wordt verwezen.
24 rb. Zwolle-Lelystad 12 november 2012, «JAR» 2012/285, m.nt. C.M.
Jakimowicz.
151
overig
van zijn persoonsgegevens) naar alle gegevens die op zijn
laptop stonden. De rechtbank komt praktisch gezien tot
een bevredigende uitkomst: het feit dat de werknemer zijn
laptop voor onderzoek heeft verstrekt, houdt niet in dat hij
daarmee toestemming heeft verleend voor het verwerken
van zijn persoonsgegevens. Nu het recherchebureau deze
toestemming niet heeft verkregen, zijn de persoonsgegevens onrechtmatig verwerkt en is het recherchebureau
aansprakelijk voor de door de werknemer geleden schade.
Juridisch gezien zijn er echter wel kanttekeningen bij
deze uitspraak te plaatsen. Gelet op de eisen voor het
verwerken van persoonsgegevens op basis van ondubbelzinnige toestemming, is het hier immers zeer de vraag
of hier überhaupt sprake had kunnen zijn van vrijwillig
gegeven toestemming voor de gegevensverwerking.25
Aan de werknemer is tijdens de voornoemde vergadering
opgedragen om per direct zijn laptop in te leveren. Het is
redelijkerwijs te verwachten dat het niet voldoen aan dit
verzoek, voor de werknemer nadelige gevolgen zou hebben.
Vanuit privacyrechtelijk oogpunt had derhalve voor een
andere grondslag van de Wbp gekozen moeten worden,
waarbij het kiezen voor de grondslag van het gerechtvaardigd belang (art. 8 sub f Wbp) uitkomst zou kunnen
bieden. Dit laat onverlet dat ook in dat geval de verwerking
eveneens aan de andere eisen van de Wbp had moeten
voldoen. Dit laatste is overduidelijk niet het geval nu het
onderzoek niet zorgvuldig heeft plaatsgevonden en er meer
gegevens zijn verwerkt dan noodzakelijk.
gevolgen van het baseren van de gegevensverwerking op toestemming
Indien in een arbeidsverhouding toch wordt gekozen om
de persoonsgegevens van een werknemer op basis van ondubbelzinnige toestemming te verwerken, leidt dit ertoe dat
deze toestemming indien deze niet voldoet aan de hiervoor
omschreven eisen, nietig is.26 Indien wel een geldige
toestemming wordt verkregen, kan deze toestemming te
allen tijde door de werknemer worden ingetrokken.27 Hierbij
is van belang om op te merken dat indien de toestemming
wordt ingetrokken, een werkgever zich niet alsnog op een
van de andere rechtvaardigingsgronden mag beroepen om
op die wijze te bewerkstelligen dat hij toch door kan gaan
met de gegevensverwerking.28 Dit zou namelijk strijdig zijn
met art. 6 Wbp nu de verwerking in dat geval ten opzichte
van de werknemer als onzorgvuldig en onrechtmatig is aan
te merken. In aanvulling daarop geldt dat vaak voor de
grondslag van toestemming wordt gekozen, indien de verantwoordelijke van mening is dat de belangenafweging ex
art. 8 sub f Wbp niet in zijn voordeel zou uitvallen. Het is dan
25
26
27
28
152
Zie ook de kritische noot van C.M. Jakimowicz bij deze uitspraak.
op grond van art. 3:40 lid 1 BW.
Art. 5 lid 2 Wbp.
Supra noot 11, p. 82. Zie ook: H.H. de vries en D.J. rutgers, Wet bescherming persoonsgegevens; Toepassing in arbeidsverhoudingen, Deventer:
Kluwer 2001, p. 24.
bevreemdend dat de verantwoordelijke zich na intrekking
van de toestemming alsnog op het standpunt zou kunnen
stellen dat deze belangenafweging plotsklaps anders uit zou
moeten vallen. De Werkgroep merkt hierover op dat indien
de verwerking zou worden voortgezet op een van de andere
grondslagen, het misleidend of zelfs inherent oneerlijk is om
de gegevensverwerking in eerste instantie op toestemming
te baseren.29 Het is voor een werkgever raadzaam om de
gegevensverwerkingen binnen de organisatie op de andere
grondslagen van de Wbp te baseren. Met deze grondslagen
kan een werkgever in de praktijk prima uit de voeten.30
tot slot
Inmiddels is op Europees niveau op 25 januari 2012 door de
Europese Commissie een pakket voorstellen tot hervorming
van de privacyregels gepresenteerd. Het voorstel is om de
Richtlijn te vervangen door een Privacyverordening.31 De
keuze voor een verordening zorgt voor een verdergaande
harmonisatie van de regelgeving, nu deze niet in nationale
wetgeving hoeft te worden omgezet. In de voorgestelde
verordening is expliciet opgenomen dat toestemming geen
rechtsgrondslag voor de verwerking van persoonsgegevens kan zijn indien sprake is van een duidelijke onevenwichtigheid in de verhouding tussen de betrokkene en de
verantwoordelijke. Hierbij wordt expliciet benoemd dat
dit het geval is als persoonsgegevens van een werknemer
door een werkgever worden verwerkt.32 Wie echter denkt
dat de voorgenomen Privacyverordening voor eens en altijd
duidelijkheid zal brengen over de toepassing van privacyrechtelijke normen in het arbeidsrecht komt bedrogen uit:
op grond van art. 82 van het voorstel kunnen de lidstaten
binnen de grenzen van de Privacyverordening voorschriften
vaststellen voor de verwerking van de persoonsgegevens
van werknemers in het kader van de arbeidsverhouding.
Wat hiervan ook zij, een ding is duidelijk: het vragen van
toestemming aan werknemers voor de verwerking van persoonsgegevens is een gepasseerd station.
over de auteur
Mw. mr. F.C. van der Jagt is advocaat bij Stibbe te
Amsterdam.
29 Supra noot 17, p. 15.
30 een kanttekening: indien de verwerking wordt gebaseerd op art. 8 sub e
of f Wbp, dient rekening te worden gehouden met het verzetsrecht van
de betrokkene ex art. 40 Wbp, nu hier een belangenafweging plaatsvindt
en de betrokkene van mening kan zijn dat deze gelet op zijn bijzondere
persoonlijke omstandigheden, anders dient uit te vallen.
31 voorstel voor een verordening van het europees Parlement en de raad
betreffende de bescherming van natuurlijke personen in verband met de
verwerking van persoonsgegevens en betreffende het vrije verkeer van
die gegevens (algemene verordening gegevensbescherming), 25 januari
2012, CoM (2012) 11 final, te raadplegen via: http://ec.europa.eu/justice/
data-protection/document/review2012/com_2012_11_nl.pdf.
32 Zie overweging 33 en 34 van het voorstel en art. 7 lid 4 van het voorstel.
SDU UITGEVERS / NUMMER 4, MEI 2013 TIJDSCHRIFT ARBEIDSRECHTPRAKTIJK
Download