GDPR geldt ook in HR-aangelegenheden

Mevrouw A werkt voor vennootschap X, maar wordt ziek.
Tijdens een vergadering van de afdeling waar ze werkt en waarbij ze zelf niet aanwezig is, zegt de afdelingsverantwoordelijke dat A al lange tijd afwezig was, kondigt hij haar vertrek aan en citeert hij uit een document van de preventiedienst waarin wordt uitgelegd dat A niet geschikt is om nog verder voor X te werken.
Dit komt ter ore van A, omdat zij gecontacteerd wordt door collega’s die willen weten hoe het met haar gaat..

Wat later verneemt A dat al wat er op de vergadering gezegd werd, ook nog eens in de notulen werd opgenomen. In die notulen wordt dus nogmaals vermeld dat ze meerdere weken afwezig was, dat ze in een verslag van de preventieadviseur ongeschikt wordt verklaard en dat de samenwerking wordt stopgezet. De notulen werden bovendien rondgemaild naar een aantal werknemers buiten haar afdeling en het document eindigt uiteindelijk op een server, waar alle medewerkers van de onderneming het kunnen raadplegen.

Dit dossier komt voor de Gegevensbeschermingsautoriteit, de GBA – en dat is zowat de rechtbank van eerste aanleg in GDPR-zaken. Voor de GBA haalt de afdelingsverantwoordelijke ter verdediging aan dat hij er tijdens de bewuste vergadering, en gelet op het delicate karakter van het verslag van de preventiedienst, de voorkeur had aan gegeven om de tekst letterlijk voor te lezen, in plaats van die te parafraseren. De vergadering zelf was bedoeld om zijn team op de hoogte te brengen.

Gegevens

De GBA verwijst naar de Europese GDPR-richtlijn van 2016, die de basis vormt van de nationale GDPR-wetgevingen. In die richtlijn vinden we twee relevante bepalingen: de GDPR is onder meer van toepassing als:

het gaat om persoonsgegevens: dat is alle informatie over een geïdentificeerde, of identificeerbare, natuurlijke persoon;.

het gaat om gegevens over gezondheid: dat zijn persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

Het leidt in deze zaak geen twijfel dat aan beide elementen voldaan wordt. Het welzijn (fysisch of mentaal) van een bepaald personeelslid werd besproken tijdens een teammeeting, waarbij niet alleen haar naam werd vermeld, maar er verder ook gesproken werd over haar afwezigheid gedurende meerdere weken. Die persoon was dus zeker identificeerbaar.
Volgens de notulen ging een deel van de vergadering trouwens over de vraag wie haar bureau zou krijgen en wat er moest gebeuren met haar persoonlijke spullen.

Er bestaat ook geen twijfel over het feit dat hier gegevens over de gezondheid van A werden gedeeld: het verslag van de preventiedienst werd voorgelezen. Dat verslag bevat informatie over het feit dat A ongeschikt werd bevonden voor de dienst. Op zich werd de fysische of psychische pathologie van A niet uit de doeken gedaan. Dat zou de preventiedienst trouwens ook niet mogen. Maar er werd wel informatie over de gezondheid van A gedeeld, en dat is voldoende. Ook de melding dat A langere tijd ziek was en dat ze het voorwerp was van een medisch onderzoek door de preventiedienst, zijn gegevens die onder de categorie ‘gegevens over de gezondheid’ vallen.

Verwerking van gegevens

De richtlijn beschrijft gegevensverwerking als een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Het verslag van een vergadering is zo’n verwerking van gegevens.
De GBA erkent dat zij geen bevestiging kon krijgen van het feit dat de notulen ook per e-mail werden verspreid, noch dat deze notulen op een server zouden staan, waar ze voor iedereen van de onderneming toegankelijk zouden zijn (hoewel dat ook niet werd tegengesproken door de afdelingsverantwoordelijke). Zou dit effectief het geval zijn geweest, dan was dat slechts een bijkomende verwerking van gegevens.

Whodunit?

Mevrouw A had klacht neergelegd tegen Z, de afdelingsverantwoordelijke. In haar klacht had zij geen melding gemaakt van het feit dat Z in vennootschap X werkte.
Kan de vennootschap dan iets verweten worden?

De GBA merkt op dat het voor een klager vaak moeilijk is om de 'verwerkingsverantwoordelijke' te identificeren. Een overtreding wordt in principe altijd begaan door een fysieke persoon, maar dat belet niet dat het over het algemeen de organisatie is, en niet de persoon, die als verwerkingsverantwoordelijke moet worden gezien. Tenzij hij zijn bevoegdheden werkelijk te buiten zou zijn gegaan – wat hier niet bewezen werd – is het afdelingshoofd niet de verantwoordelijke. Het is dus de vennootschap, en niet één van haar afdelingshoofden, die de verwerkingsverantwoordelijke is. En de vennootschap wordt dan ook gesanctioneerd voor het overtreden van de regels op de GDPR.

Uitzonderingen

Niet elke verwerking van persoonsgegevens is echter verboden. De verwerking van persoonsgegevens kan toegelaten zijn voor bepaalde doelstellingen. Dat geldt ook voor gezondheidsgegevens, maar dan moeten er wel extra maatregelen genomen worden met betrekking tot de toegankelijkheid van die gegevens.
En dat is in casu niet gebeurd. De verwerking van de gegevens door de personeelsdienst was bijvoorbeeld wel ok, maar op het ogenblik dat de afdelingsverantwoordelijke het verslag van de preventiedienst voorlas, waarna dat ook nog eens in de notulen werd opgenomen, werd er een grens overschreden.

Uiteindelijk kwam de vennootschap er met een berisping van af.
Maar de zaak toont toch aan dat dit soort gegevens met de nodige discretie moeten worden aangepakt. Er zijn andere manieren om mee te delen dat een medewerker door omstandigheden niet langer deel uitmaakt van het personeel; de medische historiek hoeft niet voorgelezen te worden.