Het monitoren van werknemers op de werkvloer: waar ligt de grens?

Even een e-mailtje naar het thuisfront vanaf je zakelijke e-mailadres, ‘dat moet kunnen’ zal menigeen denken. Toch leverde deze actie de Roemeense heer, Barbulescu ontslag op toen zijn werkgever erachter kwam dat hij privé e-mails verstuurde met zijn zakelijke e-mailaccount. Het argument van Barbulescu, dat het om privé activiteiten ging waar zijn baas niets mee te maken had, ging niet op. Het EHRM oordeelde op 5 december 2017 in deze zaak dat het e-mail en internetverkeer van werknemers door de werkgever mag worden gecontroleerd, mits de werknemers zijn geïnformeerd. 

De technologische middelen om werknemers te monitoren zijn de afgelopen jaren flink gegroeid: denk aan het monitoren van het personeel door middel van cameratoezicht of bepaalde software. Echter, niet alles dat technisch mogelijk is, is ook juridisch toegestaan. Hieronder bespreken wij wanneer het voor de werkgever is toegestaan om het netwerkverkeer van haar werkgevers, al dan niet heimelijk, te controleren.

Algemene voorwaarden voor controle van personeel

Het besluit van het EHRM, dat het personeel vooraf op de hoogte gesteld moet worden van de controle door de werkgever, is een van de voorwaarden voor de controle van een werknemer door een werkgever. De Artikel 29 Werkgroep noemt in haar opinie WP249 nog een aantal andere voorwaarden waar de werkgever aan moet voldoen bij de verwerking van persoonsgegevens door de werkgever:

• Werkgevers moeten altijd rekening houden met de fundamentele beginselen voor gegevensbescherming, ongeacht de technologie
• De inhoud van de elektronische communicatie geniet dezelfde bescherming als analoge communicatie
• Toestemming is zelden een geldige rechtsgrondslag voor gegevensverwerking op de werkvloer, tenzij werknemers kunnen weigeren zonder nadelige gevolgen
• Er kan mogelijk een beroep worden gedaan op de uitvoering van een contract en gerechtvaardigde belangen, mits de verwerking strikt noodzakelijk is voor een legitiem doel en in overeenstemming is met de beginselen van proportionaliteit en subsidiariteit
• Internationale overdracht van gegevens van werknemer mag alleen plaatsvinden als het adequaat beschermingsniveau is gewaarborgd

Welke verwerkingen mogen eigenlijk nooit?

Het is logisch dat een werkgever persoonsgegevens van haar werknemers verwerkt. Voor elke verwerking dient een legitieme grondslag te zijn. Er zijn echter verwerkingen die te ver gaan en daardoor vermeden moeten worden. Een voorbeeld dat WP29 hiervan geeft is het monitoren van werknemers in gevoelige ruimtes zoals toiletten of religieuze ruimtes.

Monitoren in het geheim

Geheime controles van een werknemer door de werkgever zijn alleen toegestaan wanneer de verdenking van een misdrijf bestaat. Daarnaast mogen de gegevens, die door de heimelijke monitoring zijn verzameld, alleen gebruikt worden voor het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Als het werk van een werknemer bijvoorbeeld wordt gemonitord om te controleren of hij een strafbaar feit begaat, mogen dezelfde opnames niet ook gebruikt worden ter beoordeling van het werk van de werknemer. 

Het gerechtvaardigd belang

De werkgever moet zich bij de controle van een werknemer altijd afvragen of zijn belang zwaarder weegt dan het privacybelang van de werknemer. Dit kan onder andere worden gedaan door een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA helpt bij het uitvoeren van de proportionaliteitstoets en is verplicht als er bijvoorbeeld een nieuwe techniek wordt ontwikkeld.

Controle van e-mail en internetverkeer

Het is een werkgever toegestaan om voorwaarden te stellen aan het gebruik van e-mail en internet op het werk of zelfs om bepaald gebruik helemaal te verbieden. De werkgever kan een algemene controle uitvoeren door bijvoorbeeld steekproefsgewijs zijn werknemers te monitoren om te zien of er verboden gebruik van e-mail of internet plaatsvindt. Bij de controle van e-mailverkeer is het wel van belang dat de werkgever het doel van de controle duidelijk omschrijft en dat de verwerking noodzakelijk is om het doel te bereiken.

Social media controle

Het is voor de werkgever toegestaan om te controleren wat een werknemer doet op social media. Echter, de werkgever dient een grondslag te hebben om de gegevens die over de werknemer op het internet staan te verwerken. Een voorbeeld dat de Autoriteit Persoonsgegevens hierover geeft is dat het de werkgever is toegestaan om, op grond van een gerechtvaardigd belang, te monitoren wat er op sociale media over zijn organisatie wordt gezegd. Het dient hier te gaan over informatie die openbaar toegankelijk is.

Conclusie

Het feit dat de werkgever door nieuwe technologieën nieuwe controlemechanismen heeft, wil niet zeggen dat deze controles ook altijd zijn toegestaan. Een werknemer mag gecontroleerd worden, maar hier zijn wel strenge voorwaarden aan verbonden en het privacyrecht van de werknemer moet altijd in acht worden genomen.

Neem contact op met een van onze adviseurs voor meer informatie over privacy binnen de arbeidsverhouding.