Veel werkgevers zullen het zich nauwelijks realiseren, maar op de werkvloer worden vrijwel aan de lopende band persoonsgegevens van werknemers verwerkt. Bij indiensttreding wordt vaak al een kopie van een identiteitsbewijs gevraagd, met een kloksysteem wordt aan- en afwezigheid van een individuele werknemer geregistreerd en steeds meer werkgevers willen invloed uitoefenen op de wijze waarop werknemers zich online (bijvoorbeeld op sociale media) gedragen. Werkgevers dienen hierbij echter wel de grondrechten van werknemers, waaronder bescherming van persoonsgegevens, in acht te nemen. Het CBP heeft recentelijk enkele ‘do’s & don’ts’ gepubliceerd met betrekking tot het gebruik van persoonsgegevens van werknemers.
Onderzoek CBP
In 2013 heeft het College Bescherming Persoonsgegevens verschillende onderzoeken verricht naar aanleiding van signalen over verwerking van persoonsgegevens in arbeidsverhoudingen. Het CBP komt tot de conclusie dat meerdere bedrijven de geldende regels niet in acht namen. Deze bevindingen hebben ertoe geleid dat het CBP nu do’s & don’ts heeft gepubliceerd over drie onderwerpen die regelmatig voorkomen in arbeidsverhoudingen: cameratoezicht op de werkvloer, zieke werknemers en sociale media.
Wat mag wél en niet?
- Cameratoezicht: met betrekking tot cameratoezicht geldt onder meer dat de beelden alleen mogen worden gebruikt voor de doeleinden waarvoor ze zijn verkregen. Als cameratoezicht bijvoorbeeld wordt ingezet om eigendommen van werknemers te beschermen, mogen de beelden niet worden gebruikt om het functioneren van een werknemer te beoordelen. Voor verborgen cameratoezicht gelden nog striktere regels van voor ‘regulier’ toezicht. Verborgen camera’s zijn alleen in bijzondere omstandigheden toegestaan.
- Medische informatie: bij zieke werknemers mogen werkgevers alleen vragen naar informatie die noodzakelijk is om de voortgang van de bedrijfsvoering te beoordelen. De werkgever mag dus wel vragen wanneer de werknemer verwacht weer aan het werk te kunnen, maar vragen naar (of registreren van) medische informatie is niet toegestaan. Dit laatste mag alleen de bedrijfsarts of arbodienst doen – en deze informatie mag niet worden doorgegeven aan de werkgever.
- Sociale media: deze hebben pas vrij recent hun intrede gedaan, en het is voor veel werkgevers en werknemers nog relatief onbekend terrein. Screening bij sollicitaties (bijvoorbeeld het ‘googelen’ van kandidaten) en controle van internet- en e-mailgebruik zijn alleen toegestaan als een werkgever een legitieme reden heeft en (kandidaat-)werknemers goed worden geïnformeerd. Persoonsgegevens van werknemers (naam, functie, foto et cetera) mogen niet ‘zomaar’ op een (bedrijfs)website worden geplaatst. Werknemers kunnen bovendien niet worden verplicht om hun gegevens op sociale media bekend te maken. Een ‘verplichte’ LinkedIn-pagina volgens voorgeschreven opmaak is dus niet toegestaan.
Overigens dienen ondernemers zich te realiseren dat voorgenomen besluiten tot vaststelling, wijziging of intrekking van een regeling omtrent verwerking en/of bescherming van persoonsgegevens van werknemers (dus bijvoorbeeld een voorgenomen besluit tot het invoeren van cameratoezicht, of een regeling op het gebied van internetcontrole) de instemming van de ondernemingsraad behoeven.
Voor de do’s & don’ts van het CBP klik hier