GDPR geldt ook in HR-aangelegenheden
Mevrouw A werkt voor vennootschap X, maar wordt ziek.
Tijdens een vergadering
van de afdeling waar ze werkt en waarbij ze zelf niet aanwezig is, zegt de
afdelingsverantwoordelijke dat A al lange tijd afwezig was, kondigt hij haar
vertrek aan en citeert hij uit een document van de preventiedienst waarin wordt
uitgelegd dat A niet geschikt is om nog verder voor X te werken.
Dit komt ter
ore van A, omdat zij gecontacteerd wordt door collegas die willen weten hoe het
met haar gaat..
Wat later verneemt A dat al wat er op de vergadering gezegd werd, ook nog eens
in de notulen werd opgenomen. In die notulen wordt dus nogmaals vermeld dat ze
meerdere weken afwezig was, dat ze in een verslag van de preventieadviseur
ongeschikt wordt verklaard en dat de samenwerking wordt stopgezet. De notulen
werden bovendien rondgemaild naar een aantal werknemers buiten haar afdeling en
het document eindigt uiteindelijk op een server, waar alle medewerkers van de
onderneming het kunnen raadplegen.
Dit dossier komt voor de Gegevensbeschermingsautoriteit, de GBA en dat is
zowat de rechtbank van eerste aanleg in GDPR-zaken. Voor de GBA haalt de
afdelingsverantwoordelijke ter verdediging aan dat hij er tijdens de bewuste
vergadering, en gelet op het delicate karakter van het verslag van de
preventiedienst, de voorkeur had aan gegeven om de tekst letterlijk voor te
lezen, in plaats van die te parafraseren. De vergadering zelf was bedoeld om
zijn team op de hoogte te brengen.
Gegevens
De GBA verwijst naar de Europese GDPR-richtlijn van 2016, die de basis vormt van
de nationale GDPR-wetgevingen. In die richtlijn vinden we twee relevante
bepalingen: de GDPR is onder meer van toepassing als:
het gaat om persoonsgegevens: dat is alle informatie over een geïdentificeerde,
of identificeerbare, natuurlijke persoon;.
het gaat om gegevens over gezondheid: dat zijn persoonsgegevens die verband
houden met de fysieke of mentale gezondheid van een natuurlijke persoon,
waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over
zijn gezondheidstoestand wordt gegeven.
Het leidt in deze zaak geen twijfel dat aan beide elementen voldaan wordt. Het
welzijn (fysisch of mentaal) van een bepaald personeelslid werd besproken
tijdens een teammeeting, waarbij niet alleen haar naam werd vermeld, maar er
verder ook gesproken werd over haar afwezigheid gedurende meerdere weken. Die
persoon was dus zeker identificeerbaar.
Volgens de notulen ging een deel van
de vergadering trouwens over de vraag wie haar bureau zou krijgen en wat er
moest gebeuren met haar persoonlijke spullen.
Er bestaat ook geen twijfel over het feit dat hier gegevens over de gezondheid
van A werden gedeeld: het verslag van de preventiedienst werd voorgelezen. Dat
verslag bevat informatie over het feit dat A ongeschikt werd bevonden voor de
dienst. Op zich werd de fysische of psychische pathologie van A niet uit de
doeken gedaan. Dat zou de preventiedienst trouwens ook niet mogen. Maar er werd
wel informatie over de gezondheid van A gedeeld, en dat is voldoende. Ook de
melding dat A langere tijd ziek was en dat ze het voorwerp was van een medisch
onderzoek door de preventiedienst, zijn gegevens die onder de categorie
gegevens over de gezondheid vallen.
Verwerking van gegevens
De richtlijn beschrijft gegevensverwerking als een bewerking of een geheel van
bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals
het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of
wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren
of combineren, afschermen, wissen of vernietigen van gegevens.
Het verslag van een vergadering is zon verwerking van gegevens.
De GBA
erkent dat zij geen bevestiging kon krijgen van het feit dat de notulen ook per
e-mail werden verspreid, noch dat deze notulen op een server zouden staan, waar
ze voor iedereen van de onderneming toegankelijk zouden zijn (hoewel dat ook
niet werd tegengesproken door de afdelingsverantwoordelijke). Zou dit effectief
het geval zijn geweest, dan was dat slechts een bijkomende verwerking van
gegevens.
Whodunit?
Mevrouw A had klacht neergelegd tegen Z, de afdelingsverantwoordelijke. In haar
klacht had zij geen melding gemaakt van het feit dat Z in vennootschap X werkte.
Kan de vennootschap dan iets verweten worden?
De GBA merkt op dat het voor een klager vaak moeilijk is om de
'verwerkingsverantwoordelijke' te identificeren. Een overtreding wordt in
principe altijd begaan door een fysieke persoon, maar dat belet niet dat het
over het algemeen de organisatie is, en niet de persoon, die als
verwerkingsverantwoordelijke moet worden gezien. Tenzij hij zijn bevoegdheden
werkelijk te buiten zou zijn gegaan wat hier niet bewezen werd is het
afdelingshoofd niet de verantwoordelijke. Het is dus de vennootschap, en niet
één van haar afdelingshoofden, die de verwerkingsverantwoordelijke is. En de
vennootschap wordt dan ook gesanctioneerd voor het overtreden van de regels op
de GDPR.
Uitzonderingen
Niet elke verwerking van persoonsgegevens is echter verboden. De verwerking van
persoonsgegevens kan toegelaten zijn voor bepaalde doelstellingen. Dat geldt ook
voor gezondheidsgegevens, maar dan moeten er wel extra maatregelen genomen
worden met betrekking tot de toegankelijkheid van die gegevens.
En dat is in
casu niet gebeurd. De verwerking van de gegevens door de personeelsdienst was
bijvoorbeeld wel ok, maar op het ogenblik dat de afdelingsverantwoordelijke het
verslag van de preventiedienst voorlas, waarna dat ook nog eens in de notulen
werd opgenomen, werd er een grens overschreden.
Uiteindelijk kwam de vennootschap er met een berisping van af.
Maar de zaak
toont toch aan dat dit soort gegevens met de nodige discretie moeten worden
aangepakt. Er zijn andere manieren om mee te delen dat een medewerker door
omstandigheden niet langer deel uitmaakt van het personeel; de medische
historiek hoeft niet voorgelezen te worden.