Blind vertrouwen? GDPR in de relatie tussen werknemers, derden en de vertrouwenspersoon (Cautius)

Auteur: Annick Alders (Cautius)

Publicatiedatum: 18/12/2020

Een recente uitspraak van de gegevensbeschermingsautoriteit bevestigt het recht van de werknemer om inzage te nemen van haar personeelsdossier en evaluatie-documenten. Dat hierin gegevens van derden zijn opgenomen, doet aan dit basisrecht geen afbreuk. Het personeelsdossier is evenwel niet het dossier van de vertrouwenspersoon. Eens deze werd ingeschakeld, is het niet mogelijk om inzage te krijgen in zijn notities gemaakt tijdens de informele interventie, noch in andere van zijn persoonlijke notities. Dit is uitdrukkelijk bepaald in de Welzijnswet om de betrokkenen te beschermen. Het verbod op inzage geldt zowel voor de verzoeker als voor de persoon over wie het verzoek gaat.

Gegevens van derden in het personeelsdossier

In casu vroeg en kreeg een werkneemster inzage in haar personeelsdossier. Na deze eerste inzage wou zij graag de neerslag van haar evaluaties inzien. Meer dan een maand later antwoordde de werkgever dat de werkneemster in principe wel recht heeft op inzage van deze documenten, maar dat eerst moet nagegaan worden of deze documenten informatie bevatten die de werkneemster zou toelaten andere betrokkenen te identificeren. De controle hiervan nam klaarblijkelijk erg lang in beslag. Meer dan twee maanden later herhaalde de werkneemster haar verzoek, waarna de werkgever een week later antwoordde dat een afspraak zou gemaakt worden.  Hierdoor schond de werkgever de verplichting om de werknemer te faciliteren bij de uitoefening van haar rechten alsook de plicht om binnen de maand gevolg te geven aan het verzoek. (Beslissing 70/2020 dd. 27 oktober 2020 geschillenkamer GBA, www.gegevensbeschermingsautoriteit.be). Volgens de Autoriteit moeten gegevens van derden (namen, contactgegevens, verklaringen,…) desgevallend op voorhand verwijderd worden, maar de aanwezigheid ervan kan op zich geen reden zijn voor de weigering van inzage. Een bevestiging van het absolute recht op inzage dus.

Verwerking van persoonsgegevens

De Algemene Verordening Gegevensbescherming (AVG ook bekend als GDPR)  bepaalt dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn (art. 5.1). Bovendien heeft degene wiens gegevens verwerkt worden het recht inzage te verkrijgen in die gegevens en ze zo nodig te corrigeren.

De bedoelde persoonsgegevens bevatten alle informatie over een individuele persoon. Gezondheidsgegevens vormen een bijzondere categorie en hebben betrekking op de fysieke en de mentale gezondheidstoestand van een persoon (vb. ook informatie over alcohol- en druggebruik, medische attesten, gegevens over absenteïsme) . Er is sprake van verwerking van zodra er sprake is van verzamelen, gebruiken, doorgeven of ter beschikking stellen.

De verwerking van gezondheidsgegevens is in principe verboden. De uitzonderingen erop zijn beperkt. Zo wordt dit onder meer toch toegelaten wanneer dit nodig blijkt om te voldoen aan een arbeidsrechtelijke bepaling of het sociale beschermingsrecht.

Verwerkt de vertrouwenspersoon gegevens?

De taak van de vertrouwenspersoon is niet strikt omlijnd. Hij of zij heeft in essentie een luisterende, adviserende en steunende rol. Als we de relevante bepalingen uit de Codex en Welzijnswet bijeen sprokkelen valt bij de concrete invulling ervan toch een aanzienlijke verwerking en beheer van gezondheidsgegevens op te merken.

Het gaat daarbij zowel om collectieve  als om strikt individuele gegevens. De gegevens zijn collectief wanneer de vertrouwenspersoon meewerkt aan het collectief preventiebeleid. In dat geval houdt de vertrouwenspersoon gegevens bij over herhaaldelijk voorkomende incidenten en deelt  dit mee aan de PAPS. (art. I.3-64 Codex). De vertrouwenspersoon heeft ook de administratieve verplichting de anonieme gegevens bedoeld voor het jaarverslag te bezorgen aan de preventiedienst (art. I.3-65 Codex).

De gegevens zijn mogelijk individueel wanneer de vertrouwenspersoon overleg pleegt met de PAPS en zij daarbij ‘pertinente informatie’ uitwisselen betreffende hun psychosociale interventies (art.I.3-63 Codex).

De gegevens zijn zeker individueel wanneer de vertrouwenspersoon luistert, bemiddelt en adviseert, al dan niet in het kader van een informele psychosociale interventie (art. 32/2 Welzijnswet).

Ingeval er collectieve gegevens worden bijgehouden, verwerkt en gedeeld, vindt de AVG geen toepassing. Van zodra er sprake is van (deels) individuele gegevens is dit wel zo. Gezien de taken van de vertrouwenspersoon bepaald worden in de Welzijnswet en de Codex en deze wetgeving kadert in het arbeidsrecht, minstens in het sociale beschermingsrecht, is verwerking van individuele gezondheidsgegevens door de vertrouwenspersoon toegelaten onder toepassing van de AVG.

Het personeelsdossier is niet hetzelfde als het dossier van de vertrouwenspersoon

Het personeelsdossier is geen sociaal document. De inhoud ervan varieert per werkgever.  Doorgaans bevat het de individuele arbeidsovereenkomst, gegevens over de loonvoorwaarden en evaluatieverslagen.

Het dossier van de vertrouwenspersoon is evenmin een sociaal document, maar het spreekt wel voor zich dat het heel wat, zoniet uitsluitend vertrouwelijke (gezondheids)informatie bevat die betrekking heeft op het algemeen ondernemingsklimaat, op collega’s of leidinggevenden, over de arbeidssituatie,…. Kortom, de informatie heeft zelden alleen betrekking op de individuele werknemer.

Wie heeft er inzage?

De basisbedoeling van de AVG is het creëren van transparantie. Daarom heeft elke betrokkene het recht om te weten wat er verwerkt wordt en het recht op toegang tot en inzage in deze gegevens . Toch kan hieruit niet zonder meer afgeleid worden dat de werknemer wiens gezondheidsgegevens worden verwerkt door de vertrouwenspersoon automatisch inzage krijgt in het dossier van de vertrouwenspersoon. In tegenstelling tot het personeelsdossier kan inzage immers wel geweigerd worden wanneer dit dossier gegevens van derden bevat.

Dit laatste vormt meteen de reden waarom de Welzijnswet uitdrukkelijk inzage door de betrokkenen uitsluit in twee gevallen:

 (1) de notities die de vertrouwenspersoon maakt tijdens de informele psychosociale interventie (art. 32 septiesdecies,1° Welzijnswet). De notities vormen een weergave van een per definitie emotioneel gekleurd persoonlijk verhaal. De toegang ertoe door de betrokkenen (de verzoeker, maar ook degene over wie het verzoek gaat) zou het relationele klimaat in de onderneming drastisch kunnen degraderen, zodat het weigeren van de toegang de facto de persoonlijke levenssfeer van de betrokkenen beschermt.

(2) ) de bijzondere gegevens van persoonlijke aard, vastgesteld tijdens de uitvoering van zijn taak (art. 32septiesecies, 5° Welzijnswet). Ook hier gaat het om persoonlijke notities, bedenkingen, vragen, indrukken, veronderstellingen en werkhypotheses. Voorlopige gegevens dus, waarvan de inzage een verkeerd zou kunnen geven aan de betrokkenen en de serene sfeer van de interventie zou kunnen verstoren.

Opgelet: de wetgever bepaalde in de voorbereidende werken van de wet strikt de inhoud van deze tweede categorie gegevens. Zodra de gegevens hier niet meer aan voldoen, kunnen ze niet langer aan inzage onttrokken worden. Een ernstige afweging door de vertrouwenspersoon is dus op zijn plaats. Het vertrouwen dat de betrokkenen noodzakelijk moeten hebben in de vertrouwenspersoon kan door onzorgvuldige gegevensbenadering immers ernstig op de proef worden gesteld. Dus toch niet zó blind, dat vertrouwen.

Ook gepubliceerd op www.senTRAL.be

Lees hier het originele artikel