|||
FR NL EN
-
Reglementering
23 maart 2023

GDPR: de werkgever moet discreet omgaan met identiteitsgegevens bij interne communicaties

Bij een verzoek tot psychosociale interventie door een werknemer, moet de werkgever (ook) rekening houden met zijn verplichtingen in het kader van de AVG in zijn communicatie met de andere werknemers hierover.

Context

Een werknemer dient een verzoek tot formele psychosociale interventie in bij de bevoegde preventieadviseur. De preventieadviseur stelt zowel collectieve als individuele maatregelen voor.

Op advies van de preventieadviseur plakt de werkgever een nota aan binnen instelling. Deze nota vermeldt onder meer de voor- en achternaam van de werknemer, aangeduid als “klager”.

De werknemer beschouwt dit als een onrechtmatige verwerking van haar persoonsgegevens. Zij legt de zaak voor aan de Gegevensbeschermingsautoriteit (GBA).

De werkgever is van mening dat de verwerking rechtmatig is, aangezien: (i) ze door een wettelijke verplichting wordt voorzien en (ii) ze betrekking heeft op gekende gegevens. De naam van de klager was immers al bekend bij het personeel door het onderzoek, gevoerd door de preventieadviseur.

De beslissing van de GBA

De GBA benadrukt dat de voor- en achternamen “persoonsgegevens” zijn in de zin van de AVG. De publicatie van deze informatie, in een nota aan het personeel, vormt een “verwerking”.

Hieruit volgt dat de werkgever een rechtsgrond moet hebben voor deze verwerking. Volgens de GBA ontbreekt deze rechtsgrond: 

·     Er is geen wettelijke bepaling die de werkgever verplicht de collectieve of individuele maatregelen aanbevolen door de preventieadviseur, te publiceren;

·     De AVG is ook van toepassing op gekende gegevens, waarvan de verwerking ook een rechtsgrond vereist;

·     De werkgever had geen “gerechtvaardigd belang”. Het informeren van het personeel over een advies van de externe preventieadviseur - en het verdedigen van zijn standpunt - kan een rechtmatig doel uitmaken. Het publiceren van de identiteit van de klager was echter niet noodzakelijk om dit doel te bereiken.

De Geschillenkamer van de GBA heeft de werkgever bijgevolg een waarschuwing gegeven, alsook een bevel tot naleving van de AVG (schrappen van de betwiste gegevens).

Te onthouden ?

De werkgever moet steeds de AVG naleven bij communicaties aan het personeel waarin de identiteit van een werknemer vermeld wordt.

De werkgever moet een geldige rechtsgrond hebben en hij moet de verwerking van persoonsgegevens beperken tot het strikt noodzakelijke.

Aarzel niet om contact op te nemen met één van onze advocaten bij vragen over dit onderwerp! 

Bron: Gegevensbeschermingsautoriteit, beslissing 18/2023 van 2 maart 2023, www.gegevensbeschermingsautoriteit.be

We use cookies to track usage and preferences Legal terms I Understand