Wanneer mogen emails van werknemers gecontroleerd worden?

Wanneer een werkgever de mailbox van een werknemer controleert, komt het recht op privacy van de werknemer onder druk te staan. Controle zou wél mogelijk zijn, indien de werknemer op de hoogte werd gebracht van deze mogelijkheid. Tot deze conclusie kwam het Europees Hof voor de Rechten van de Mens. 

Ook in België is de controle van de mailbox van werknemers toegestaan, doch onder strikte voorwaarden. Hierbij moeten duidelijke doeleinden vooropgesteld worden, moeten onregelmatigheden zijn vastgesteld, mag de controle niet overmatig zijn en moet transparant gecommuniceerd worden naar de werknemers en sociale partners.

Bij de uitvoering van zijn taken krijgt een werknemer apparatuur en internettoegang ter beschikking. De werkgever kan er belang bij hebben om controle te voeren op het gebruik van dergelijke systemen. Maar hoe en wanneer kan de werkgever tot monitoring of controle overgaan? Een recent arrest van het Europees Hof voor de Rechten van de Mens brengt ons de principes in herinnering. En dit geeft ons de kans om nog eens te kijken wat het Belgisch recht hierover bepaalt.

Feiten

Dhr. Bogdan Bărbulescu was als ingenieur tewerkgesteld bij een Roemeense onderneming. Hij werd in de uitvoering van zijn functie gevraagd om een Yahoo Messenger account op te zetten. Het account moest dienen om de klanten van de onderneming te kunnen ondersteunen.

De onderneming voert op zekere dag een onderzoek uit op het account en treft talloze sporen aan van private contacten tussen Dhr. Bărbulescu en zijn familieleden. Voor de onderneming als werkgever was dit voldoende om Dhr. Bărbulescu meteen aan de deur te zetten. Het gebruik van apparatuur van de onderneming voor private doeleinden was volgens de arbeidsovereenkomst immers strikt verboden.

Juridische procedures

Zowel in eerste aanleg als in graad van beroep werd op basis van het Roemeense arbeidsrecht geoordeeld dat de onderneming een monitoringrecht had om zijn werknemers te controleren in de uitoefening van hun functie. Daarbij werd een afweging van belangen gedaan, doch geoordeeld in het nadeel van de privacyrechten van Dhr. Bărbulescu. Wanneer het Roemeense Hof van Cassatie geen grond zag tot verbreking, stond de weg open naar een voorziening voor het EHRM.

Aanvankelijk oordeelde de behandelende kamer van de Vierde Sectie van het EHRM dat de onderneming een legitiem onderzoek kon voeren op het Yahoo Messenger account van Dhr. Bărbulescu (EHRM (4e) 12 januari 2016, Bărbulescu v. Roemenië). De kamer kwam tot dat oordeel omdat het onderzochte account voor professionele doeleinden was opgezet en de onderneming er dus redelijkerwijze van uit mocht gaan dat de daarin opgenomen berichten eveneens professioneel waren. Daarnaast controleerde de onderneming enkel dat account en geen andere documenten of bestanden.

Eindoordeel van EHRM

De zaak werd uiteindelijk doorverwezen naar de Grote Kamer. Het EHRM herhaalde dat het recht op privacy, zoals beschermd in artikel 8 van het EVRM eveneens van toepassing op de arbeidsrelaties en dat beperkingen hierop wel degelijk zijn toegestaan. Bij de inperking van de privacyrechten van werknemers moeten evenwel voldoende waarborgen worden geboden tegen misbruik.

De Grote Kamer van het EHRM draaide de uitspraak in haar arrest om (EHRM (GrK) 5 september 2017, Bărbulescu v. Roemenië61496/08) en stelde dat de privacyrechten van Dhr. Bărbulescu inderdaad geschonden waren, voornamelijk doordat deze niet op voorhand op de hoogte was gesteld van de mogelijke monitoring van de messenger-dienst. De lagere rechtbanken maakten evenmin een afweging van het intrusieve karakter van de monitoring of van de legitimiteit van de doeleinden voor de monitoring. Tenslotte werd niet onderzocht of er niet minder ingrijpende alternatieven voor de monitoring voorhanden waren.

Principes

Het EHRM herhaalde in haar arrest ook nog eens waar een controle van correspondentie van werknemers aan moet voldoen om legitiem te zijn, zonder inbreuk op de privacyrechten:

1. de werknemer moet op de hoogte zijn gebracht van de mogelijkheid van de werkgever om tot monitoring over te gaan, deze melding moet voorafgaandelijk gebeuren en moet de monitoring duidelijk omschrijven;

2. de monitoring mag niet buitensporig of te ingrijpend zijn, waarbij ook de duurtijd van de monitoring, de hoeveelheid data en het aantal personen die er toegang toe hebben als relevante factoren meespelen;

3. de rechtmatige belangen van de werkgever;

4. het bestaan van alternatieven die minder ingrijpend zijn dan de monitoring;

5. de gevolgen van de monitoring voor de werknemer en de proportionaliteit met het beoogde doel; en

6. het bieden van afdoende waarborgen aan de werknemer.

In België

Voor België verandert er in wezen weinig. In België werd de mogelijkheid tot het controleren van werknemers en meer bepaald hun gebruik van online systemen vastgelegd bij CAO nr. 81 van 26 april 2002. De controle moet ook hier voldoen aan het finaliteitsbeginsel (rechtmatig doeleinde) en het proportionaliteitsbeginsel (evenredigheid van de genomen maatregelen).

Er moet een onderscheid gemaakt worden tussen enerzijds een globale monitoring van het internetverkeer, bijvoorbeeld om het gebruik van de systemen in kaart te brengen en statistieken op te maken, en anderzijds geïndividualiseerde controles waarbij het gebruik ook op inhoud en identiteit kunnen worden gecontroleerd.

Globale monitoring

Bij globale monitoring wordt het online verkeer in kaart gebracht en moet zulks de werkgever in staat stellen eventuele onregelmatigheden te detecteren. Het vaststellen van onregelmatigheden bij globale monitoring zal de aanleiding kunnen zijn voor geïndividualiseerde controles.

Aan het finaliteitsbeginsel bij globale monitoring is voldaan zolang de controle gevoerd wordt

(1) om ongeoorloofde feiten te voorkomen,

(2) ter bescherming van de belangen van de onderneming te beschermen,

(3) om de IT-systemen van de onderneming te waarborgen, en/of

(4) ter controle van de naleving te goeder trouw van de interne regels rond gebruik van de IT-systemen.

Aan het proportionaliteitsbeginsel is voldaan wanneer de inmenging in de persoonlijke levenssfeer van de werknemer tot een minimum wordt beperkt. Zo dienen gegevens van internetgebruik en elektronische correspondentie in hun algemeenheid verzameld te worden.

Er moet afdoende informatie worden verstrekt, zowel op collectief niveau (ondernemingsraad, preventiecomité, vakbondsafvaardiging of werknemers) en op individueel niveau (bijv. in de arbeidsovereenkomst). De werkgever moet informatie verstrekken rond het gevoerde beleid, de doelstellingen, eventuele bewaring en duurtijd van de controle. De werknemers moeten bovendien onder meer worden ingelicht over hun rechten en plichten en de eventuele sancties.

Geïndividualiseerde controles

De werkgever kan ook verder gaan dan monitoring van globaal gebruik van de IT-systemen voor statistische doeleinden. Wanneer wordt overgegaan tot “individualisering”, zoals de door de werknemer bezochte websites en de inhoud van gevoerde elektronische correspondentie, moet dit ook gebeuren in het kader van een welbepaald doeleinde en moet de controle toereikend, dienend en niet overmatig zijn.

Een directe geïndividualiseerde controle is mogelijk wanneer de werkgever bij globale monitoring onregelmatigheden vaststelt die wijzen in de richting van een ongeoorloofd feit, een schending van de legitieme belangen van de onderneming of een gevaar voor de IT-systemen.

In geval van onregelmatigheden in het gebruik van de IT-systemen door de werknemer, kan er worden overgegaan tot een indirecte individualisering. De werknemer moet dan eerst worden voorgelicht over de onregelmatigheden en over de indirecte geïndividualiseerde controle als consequentie bij nieuwe onregelmatigheden.

Conclusie

Voor zover een Belgische onderneming van plan is om een globale monitoring te voeren op het gebruik van online systemen, raden we steeds aan om duidelijke doeleinden voorop te stellen, geen overmatige maatregelen te implementeren en een tijdige en heldere communicatie te voeren. Wil een onderneming ook controle voeren op de inhoud van het gebruik, kan zulks pas bij vaststelling van onregelmatigheden. In geval van gebruik tegen de interne bedrijfsregels in, moet eerst een voorlichting van de werknemer plaatsvinden.

Heeft u vragen over privacy, gegevensbescherming en de bescherming ervan op de werkvloer, neem gerust contact met ons op via email: andries@siriuslegal.be, of telefonisch op: 02/721.13.00.