COVID-19 en privacy: enkele reminders en actuele vragen voor de werkgever (Gevaco Advocaten)

Auteur: Tine Vandeurzen (Gevaco Advocaten)

Publicatiedatum: 20/11/2020

Ook tijdens deze COVID-19 pandemie moet de GDPR worden gerespecteerd. Dit artikel geeft een opfrissing van enkele belangrijke punten uit de GDPR. Vervolgens worden enkele actuele privacy-vragen in het kader van deze COVID-19 pandemie beantwoord.

I REMINDERS VOOR DE WERKGEVER

• In het kader van COVID-19 mag geen ruimere interpretatie worden gegeven aan de rechtmatigheidsgrond ‘noodzaak voor vitale belangen van de betrokkenen of andere natuurlijke persoon’ voor het opleggen van preventiemaatregelen;
• Probeer steeds een goed evenwicht te vinden tussen uw plicht, als werkgever, om te voorzien in een gezonde werkomgeving en het recht op respect voor privacy van de werknemer;
• Gebruik de data enkel voor noodzakelijke doeleinden zoals het managen van het gezondheidsrisico en het nemen van de vereiste maatregelen (proportionaliteit);
• Bewaar data enkel voor de periode die nodig is om risicoscenario’s op te sporen en actie te ondernemen (lees: verwijder of anonimiseer zodra bewaring niet meer noodzakelijk in het kader van de vooropgestelde doeleinden) (dataminimalisatie);
• Zorg voor een transparante (liefst schriftelijke) communicatie aan de werknemers. Deel de verwerking van persoonsgegevens in het kader van de bestrijding van COVID-19 omstandig mee aan de werknemers (transparantie);
• Controleer of uw dataregister up-to-date is;
• Documenteer elke beslissing, verwerking en communicatie m.b.t. de verwerking van persoonsgegevens in het kader van COVID-19.

II ACTUELE VRAGEN

1) Mag ik namen van de besmette werknemers bekendmaken?

Nee, tenzij  u de uitdrukkelijke toestemming hebt van de werknemer in kwestie. De werkgever brengt best andere collega’s op de hoogte zonder vermelding van de naam of andere identificatiegegevens van de betrokken werknemer bekend te maken. Dat laatste is in kleine organisaties praktisch niet altijd evident. Wij raden in dat geval aan om de uitdrukkelijke toestemming van de betrokken werknemer te vragen, ook al is dit via e-mail of sms. Heeft u als werkgever geen uitdrukkelijke toestemming ontvangen? Deel dan aan de andere werknemers geen identificatiegegevens mee maar enkel de strikt noodzakelijke informatie die nodig is voor het opleggen van preventiemaatregelen. Houdt hierbij in het achterhoofd dat u steeds het vertrouwelijkheidsbeginsel en het beginsel inzake dataminimalisatie respecteert. Tenslotte willen we u er op wijzen dat de toestemming om andere collega’s te informeren niet hetzelfde is als toestemming om deze (gezondheids)info ook op te nemen of te bewaren in een personeelsdossier.

2) Mag ik GSM-nummers van werknemers opvragen en gebruiken voor communicatie rond COVID-19?

Het antwoord op deze vraag is positief wanneer het gaat om crisiscommunicatie omtrent COVID-19. In alle andere gevallen is de voorafgaande toestemming van de werknemer noodzakelijk.

3) Mag ik systematisch de lichaamstemperatuur van werknemers controleren?

De lichaamstemperatuur van uw werknemers systematisch controleren is niet toegestaan. Deze preventiemaatregel is niet proportioneel ten aanzien van het vooropgestelde doel (ter bescherming van de vitale belangen) en de verplichting om te voorzien in een gezonde werkomgeving. Medisch gezien is het meten van de temperatuur ook niet voldoende adequaat om na te gaan of iemand besmet is met COVID-19. Het instaleren van hitte camera’s of koortsscanners bij de betreding op de werkvloer is bijgevolg verboden. De temperatuur meten van een werknemer mag wel wanneer u zijn uitdrukkelijk toestemming hebt. Hierbij moeten wij tenslotte ook opmerken dat de toestemming om de temperatuur te meten niet hetzelfde is als toestemming om deze gegevens ook effectief te bewaren en te verwerken.

4) Mag ik mijn werknemers verplichten om een COVID-19 test te ondergaan?

Volgens de GBA (de Gegevensbeschermingsautoriteit) bestaat er geen wettelijke basis om uw personeel te verplichten om zich te laten testen op COVID-19. U kan niet vanuit uw patronaal gezag een dergelijke test opleggen aan uw personeel. De GBA benadrukt wel dat het van groot belang is dat de werknemer zich laat testen/ onderzoeken door zijn huisarts wanneer hij ziek is of symptomen vertoont. Hierbij kan u de werknemer herinneren aan zijn verplichting (in het kader van de Arbeidsovereenkomstenwet) om zich te onthouden van al wat schade kan berokkenen aan zijn eigen veiligheid, aan die van zijn collega’s, van de werkgever en van derden. U zou dus kunnen stellen dat het een wettelijke verplichting is van de werknemer om zich te laten testen.

5) Mag ik mijn personeel verplichten om een armband te dragen om social distancing na te leven op de werkvloer?

Dit mag enkel wanneer deze geen locatiegegevens opslaat. In dat geval wordt er immers geen enkele link gemaakt naar een identificeerbare persoon. Wanneer er toch sprake is van het bewaren van locatiegegevens, is de uitdrukkelijke toestemming van de werknemer noodzakelijk. De GBA benadrukt dat (in een arbeidsrelatie) de werknemer nooit ‘vrij’ zijn toestemming kan geven aan de werkgever aangezien hij onder zijn werkgeversgezag staat. Het dragen van een de armband, met opslag van locatiegegevens, is dus niet mogelijk op de werkvloer. De werknemer kan immers niet in alle vrijheid weigeren deze armband te dragen zonder enig nadelig gevolg te ondervinden.

III ACTIEPUNT

Ook in het kader van deze COVID-19 pandemie mag u de privacy compliance niet uit het oog verliezen. Ga steeds na of uw preventiemaatregel of communicatie voldoet aan de volgende principes: proportionaliteit, transparantie en dataminimalisatie. Vergeet tenslotte ook niet om elke beslissing en verwerking hieromtrent de documenteren. Documentatie is ‘the key’!

Lees hier het originele artikel