De “toestemming” in de relatie werkgever-werknemer onder de GDPR

Als werkgever verwerk je een heleboel persoonsgegevens van je werknemers, denk maar aan: de familiale situatie, naam van een contactpersoon in geval van nood, informatie over allergieën of voorkeuren (bv. halal-maaltijden), foto’s van de bedrijfsuitstap. In veel gevallen wordt hiervoor als rechtsgrond de “toestemming” van de werknemer aangehaald. Echter, de GDPR legt bijkomende eisen op aan een “geldige” toestemming en… misschien is verwerking ook mogelijk op andere gronden?

Toestemming onder GDPR

Bij het verwerken van persoonsgegevens dient de Verwerkingsverantwoordelijke steeds te verifiëren of hij beschikt over een geldige rechtsgrond voor de verwerking van persoonsgegevens. Zo ook dient de werkgever na te gaan welke de rechtsgrond is voor de verwerking van persoonsgegevens van zijn werknemers. De rechtsgronden waarop men zich kan beroepen wijzigen niet substantieel onder de nieuwe privacywetgeving, maar de voorwaarden die aan de rechtsgrond “toestemming” worden gekoppeld worden wel aanzienlijk strenger.

De Verordening definieert toestemming als volgt: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene  door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaard.”

Dit impliceert dat het toestemmingsverzoek los moet staan van de algemene voorwaarden, gedocumenteerd moet worden en geen voorwaarde mag zijn voor het contract.

In de (gezags-)relatie werkgever/werknemer zal het bekomen van een vrije en ondubbelzinnige wilsuiting die ook een ondubbelzinnige actieve handeling inhoudt dus niet steeds eenvoudig zijn. Bovendien dient u zich ervan te vergewissen dat de werknemer gerechtigd is om deze “toestemming” later opnieuw in te trekken.

Andere wettelijke bases voor gegevensverwerking?

Aangezien de “toestemming” als rechtsgrond restrictiever wordt opgevat onder de nieuwe Verordening en deze bovendien later opnieuw kan ingetrokken worden, is de vraag welke andere mogelijke rechtsgronden voor de verwerking van persoonsgegevens in de relatie werkgever/werknemer zouden kunnen worden aangenomen.

In eerste instantie zou het uitvoeren van een overeenkomst met de werknemer een mogelijke rechtsgrond kunnen zijn voor bijvoorbeeld de verwerking van de naam, adresgegevens en rekeningnummer van de werknemer. Daarnaast zal het naleven van een wettelijke verplichting een mogelijk rechtsgrond kunnen zijn bijvoorbeeld voor de verwerking van deze persoonsgegevens noodzakelijk voor het vervullen van de verplichtingen van de werkgever op vlak van sociale zekerheid.

De werkgever zal zich tot slot ook kunnen beroepen op het vitaal belang van de betrokkene in bepaalde gevallen en soms zelfs op het gerechtvaardigd belang. In dit laatste geval dient de werkgever dan wel zorgvuldig de afweging te maken tussen zijn eigen belangen en de belangen en vrijheden van de werknemer.

Wat met gevoelige gegevens?

In het kader van een arbeidsverhouding worden vaak ook gevoelige gegevens verwerkt, denk maar aan: de lijst van gesyndiceerde werknemers, etnische/raciale achtergrond van een werknemer, gegevens over medische aandoeningen van de werknemer,…

In principe is de verwerking van gevoelige gegevens verboden. De verwerking van deze gegevens zal toch toegelaten zijn in geval van uitdrukkelijke toestemming van de betrokkene voor één of meer bepaalde doeleinden. Daarnaast voorziet de Verordening ook in een rechtsgrond voor de verwerking van gevoelige gegevens wanneer deze verwerking noodzakelijk is met het oog op de uitvoering van specifieke rechten van de werknemer of werkgever in het kader van het arbeidsrecht/sociale zekerheidsrecht, daarnaast kan ook worden verwezen naar de rechtsgrond van het “zwaarwegend algemeen belang”, de verwerking voor redenen van preventie en arbeidsgeneeskunde,…

Documenteer de rechtsgrond voor de verwerking

Als werkgever kan u zich bij de verwerking van persoonsgegevens van uw werknemers, naast toestemming meestal ook op één of meerdere andere gronden beroepen. Belangrijk is wel dat u deze keuze documenteert en motiveert waarom u meent een beroep te kunnen doen op een bepaalde rechtsgrond. U kan deze keuze documenteren in de Privacy Impact Assessment die u in principe dient uit te voeren in de aanloop naar de inwerkingtreding van de nieuwe Verordening in mei 2018.

Indien u zich toch op de “toestemming” van de werknemer dient te beroepen teneinde bepaalde persoonsgegevens van uw werknemer te kunnen verwerken, documenteer dan ook deze toestemming en zorg dat u een bewijs kan voorleggen van deze vrije en geïnformeerde toestemming van uw werknemer.

Vragen over de GDPR of privacywetgeving in het algemeen?

Contacteer Bart Van den Brande (bart@siriuslegal.be) of Freekje De Vidts (freekje@siriuslegal.be).

Auteur : Freekje De Vidts m.m.v. Rosalie De Ruysscher