We hebben de voorbije twee jaar honderden bedrijven, ondernemers, vrije beroepers en non-profit organisaties opgeleid of bijgestaan inzake de implementatie van de GDPR in hun onderneming of organisatie. Tijdens die vele contacten hebben we vastgesteld dat een hele reeks vragen en problemen steeds weer terugkomt, over sectoren en activiteiten heen.
Een van die vragen draait om het recht op inzage. Op basis van artikel 15 GDPR of AVG heeft iedereen wiens gegevens verwerkt worden het recht om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de vraag of zijn of haar gegevens inderdaad verwerkt worden en om inzage te verkrijgen in die persoonsgegevens, samen met informatie over de reden van verwerking, de personen met wie de gegevens eventueel gedeeld worden, de bewaartermijn, etc…
Het Italiaanse Hof van Cassatie verduidelijkte recent de draagwijdte van dit inzagerecht onder artikel 15 GDPR, voorheen opgenomen in artikel 7 van het Wetgevend Decreet 196/2008 in Italië. Een beslissing die, ondanks het feit dat ze initieel nog onder de oude Italiaanse wet viel, onder GDPR toch ook voor andere landen in Europa relevant kan zijn.
Recht op inzage versus vertrouwelijke informatie
Het recht op inzage roept in een aantal specifieke gevallen ernstige vragen op omdat het recht op inzage in conflict lijkt te komen met beroepsgeheimen, met vertrouwelijke knowhow of in het algemeen met de vaststelling dat het onwenselijk is om bepaalde informatie mee te delen aan de betrokkene. Zo bijvoorbeeld stelt zich de vraag of een bank in het kader van het recht op inzage ook intern kredietscores van consumenten publiek mag maken, of een psycholoog of maatschappelijk assistent zijn of haar verslagen over een cliënt met persoonlijke notities moet vrijgeven, of een bedrijf zijn vendor assessment of zijn prospectiefiles met persoonlijke notities moet vrijgeven, of een personeelsdienst evaluaties van personeel ter inzage moet geven, …
Heel vaak gaat het om persoonlijke meningen, opvattingen, analyses over een persoon die men om verschillende redenen liever niet ter kennis brengt van de persoon zelf. De betreffende informatie kan vertrouwelijk zijn, het kan commercieel ongewenst zijn om de beslissingsprocessen van het bedrijf in zekere mate bloot te moeten geven (een en ander opent zelfs de deur naar bedrijfsspionage door concurrenten), het kan ook gewoon als contraproductief aangevoeld worden om bvb een sociale of psychologische analyse ter kennis te moeten brengen van de betrokkene zelf.
Heel wat redenen dus voor verantwoordelijking van de verwerking van dergelijke persoonsgegevens om te zoeken naar mogelijkheden om deze buiten de scope van het inzagerecht onder artikel 15 GDPR te houden.
Italiaanse Hof van Cassatie verduidelijkt
Op 14 december 2018 verwierp het Hof van Cassatie een beroep dat door een werkgever in de banksector was ingesteld en stelde dat zijn werknemer recht had op toegang tot evaluatiedocumenten die tot disciplinaire maatregelen tegen hem hadden geleid. De bank had het verzoek om vertrouwelijkheidsredenen resoluut afgewezen.
De bankbediende in kwestie was het onderwerp van een disciplinaire procedure. In het kader daarvan wilde hij inzage in de evaluaties die zijn werkgever over hem gemaakt had en waarop de disciplinaire procedure gebaseerd was. De bank weigerde dit, waarop de man een klacht indiende bij de Gegevensbeschermingsautoriteit om toegang te krijgen tot de documenten die gebruikt werden om hem te sanctioneren. De werknemer beriep zich op zijn recht op verdediging om de disciplinaire maatregelen aan te vechten.
In een antwoord aan de Italiaanse GBA stelde de bank dat zij de werknemer alle informatie had verstrekt die nodig was om de juistheid van de genomen maatregel te beoordelen, met name een klachtenbrief en een schorsingsbrief en dat zij geen inzage wenste te geven in de interne verslagen omdat die documenten vertrouwelijke bedrijfsgegevens zouden bevatten voor “strikt intern gebruik en beschermd door de privacywetgeving” als een “uitdrukking van het recht om zijn eigen activiteit te organiseren en te beheren (grondwettelijk gegarandeerd door artikel 41 van het Verdrag). Grondwet)“.
Beslissing van het Hof van Cassatie
De bank weigerde de door de GBA opgelegde inzage met andere woorden te respecteren en vocht deze beslissing aan voor de rechtbank, waarna het geschil voor het Italiaanse Hof van Cassatie belandde.
Het Hof van Cassatie bevestigde de initiële stelling van de bankbediende en van de Italiaanse GBA dat het inzagerecht onder artikel 15 GDPR slaat op alle persoonsgegevens die de bank in handen heeft aangaande de werknemer in kwestie, zonder uitzondering en zonder enige vorm van filter of keuzerecht voor de verantwoordelijke voor de verwerking. Dit recht geldt ook, volgens het Hof van Cassatie, ongeacht het feit dat een betrokkene mogelijk al op de hoogte is van bepaalde informatie en vereist dat deze op elk moment toegang heeft tot zijn persoonlijke gegevens.
Daarnaast onderstreepte het Italiaanse Hof van Cassatie ook nog eens dat ook verplichtingen onder het arbeidsrecht (met betrekking tot personeelsdossiers) ook gewoon onderworpen zijn aan het recht van inzage, aangezien het wel degelijk om persoonsgegevens gaat.
Het Hof van Cassatie voegt wel nog toe dat bepaalde gegevens eventueel onherkenbaar gemaakt kunnen worden voor zover zij slaan op derden en de privacy van die derden in gevaar kunnen brengen (we denken aan de namen van andere personeelsleden of familieleden die verklaringen zouden hebben afgelegd).
Wat betekent dit voor jou?
Bovenstaande is weliswaar een beslissing van het Italiaanse en niet van het Belgische Hof van Cassatie en het geschil speelde in eerste instantie onder de oude Italiaanse privacywet, totdat deze vervangen werd door de GDPR in mei. Toch heeft dit arrest wel degelijk een belangrijke draagwijdte voor de ganse EU. Het arrest is uiteindelijk geveld in december 2018, lang nadat de GDPR in voege trad en bovendien was de oude formulering van het recht op inzage in Italië, net zoals bij ons in België, onder het oude recht niet anders dan vandaag onder GDPR.
Een en ander betekent concreet dat verantwoordelijken voor de verwerking op elk ogenblik moeten beseffen dat alle persoonsgegevens die zij bijhouden over personeel, klanten, prospects, leveranciers, patiënten, cliënten, potentieel en zonder filter opgevraagd kan worden door de betrokkene. Dat betekent dat ook commentaren in de marge van een dossier van een maatschappelijk assistent, notities in het “open veld” van CRM systemen ivm het karakter van een klant, interne klantenscores, etc… potentieel in handen kunnen komen van de betrokkene (en als die betrokkene een concurrent zou zijn, dus ook in handen van een concurrent)
De cliënt van een psycholoog of een OCMW kan inzage vragen in zijn dossier, de cliënt van een advocaat kan inzage vragen in zijn eigen dossier, een klant van een bank kan inzage vragen in kredietscores en klantenprofielen, een personeelslid kan inzage vragen in zijn personeelsdossier, …
Ons advies in het kader van GDPR compliance trajecten is dan ook steevast om intern goed te onderzoeken welke processen spelen bij het verzamelen en registreren van persoonsgegevens en om zeer goed te bekijken welke gegevens wel en niet genoteerd worden in de toekomst en vooral ook hoe bepaalde informatie opgeslagen wordt. Het “open veld” in CRM-systemen is daarvan een zeer goed voorbeeld in de context van commerciële bedrijven. In het licht van GDPR en van de wetenschap dat die “vervelende klant” misschien ooit inzage krijgt in de notities die over hem bijgehouden worden, is het verstandig om het personeel ertoe aan te zetten om niet meer expliciet te noteren “bezoek gebracht op datum X: vervelende klant”. Een en ander zou anders op termijn wel eens kunnen leiden tot “geen klant meer” in plaats van “vervelende klant”…
Vragen over GDPR en databescherming in België of Europa?
Neem gerust contact op met Bart Van den Brande of de rest van ons team op bart@siriuslegal.be of op +32 486 901 931. We staan je graag te woord.