Verwerken op basis van toestemming personeel in arbeidsrelatie werknemer-werkgever & de Avg
Net als bij de Wbp bestaan er onder de Avg verschillende grondslagen voor verwerking. Zo kun je bijvoorbeeld verwerken op grond van een ‘wettelijke plicht’, ‘toestemming’ of een ‘gerechtvaardigd belang’.
Met name in situaties waarin je niet mag verwerken op grond van gerechtvaardigd belang, bijvoorbeeld als het gaat om bijzondere persoonsgegevens*, wordt vaak gekozen voor toestemming. Ook kun je om andere redenen kiezen om te verwerken op grond van toestemming.
Maak je gebruik van toestemming? Dan moet de toestemming onder de Avg: specifiek, vrij, op informatie berustend en ondubbelzinnig worden gegeven. En dat moet je achteraf ook kunnen bewijzen. Dat geldt voor alle verwerkingen van persoonsgegevens die je doet op basis van toestemming. Houd er bovendien rekening mee dat je de verwerking moet stoppen op het moment dat de toestemming wordt ingetrokken; je grondslag valt dan immers weg.
Inzoomend op toestemming in de arbeidsrelatie betekenen de eisen uit de Avg het volgende:
- Specifiek:
De werknemer geeft specifiek toestemming voor het verwerken van zijn gegevens voor een vooraf bepaald doel. Het mag niet lastig zijn te onderscheiden waar nu eigenlijk toestemming voor wordt gegeven. De toestemming mag ook niet verstopt zitten in bijvoorbeeld de arbeidsovereenkomst of andere voorwaarden. - Vrij:
Er mogen geen negatieve consequenties zijn (bijvoorbeeld geen borgsom betalen, druk vanuit de leidinggevende, of andere drukmiddelen) en er moet op basis van vrije keuze een redelijk alternatief beschikbaar zijn. - Op informatie berustend:
De persoon moet voldoende informatie krijgen in begrijpelijke taal bijvoorbeeld over waarvoor hij toestemming geeft, aan wie, met welke risico’s en zijn recht om toestemming in te trekken. - Ondubbelzinnig:
De werknemer moet actief toestemming geven. Een vooraf aangevinkt vakje telt niet en je mag ook niet impliciet afleiden dat iemand vast wel toestemming bedoeld had te geven omdat hij bijvoorbeeld gebruik is gaan maken van de dienst.
Met name op het punt “vrij” kan het schuren in de relatie werkgever/werknemer. Een werknemer is immers afhankelijk van zijn werkgever en zal zich dus wellicht niet ‘vrij’ voelen om toestemming te weigeren. Toch betekent dat niet dat toestemming in het geheel niet bruikbaar is. De Europese toezichthouders hebben een schrijven hierover:
However this does not mean that employers can never rely on consent as a lawful basis for processing. There may be situations when it is possible for the employer to demonstrate that consent actually is freely given. Given the imbalance of power between an employer and its staff members, employees can only give free consent in exceptional circumstances, when it will have no adverse consequences at all whether or not they give consent. 20 [Example 5] A film crew is going to be filming in a certain part of an office. The employer asks all the employees who sit in that area for their consent to be filmed, as they may appear in the background of the video. Those who do not want to be filmed are not penalised in any way but instead are given equivalent desks elsewhere in the building for the duration of the filming. (onderstreping toegevoegd).
Het voorbeeld dat hier wordt genoemd is filmen in een kantoor waarbij medewerkers de mogelijkheid wordt geboden tijdelijk op een andere plek plaats te nemen. Dat is vergelijkbaar met bijvoorbeeld het aanbieden, ter vrije keuze aan de medewerker, van de mogelijkheid van een pasfoto op het internet/intranet of niet. Of het aanbieden van het beveiligen van de telefoon met een vijfcijferige code of (als de werknemer dat handig vindt en opnieuw ter vrije keuze) met een vingerafdrukscan.
Kortom: er zijn diverse voorbeelden (meer dan hier genoemd) te bedenken waarbij werkgevers met toestemming kunnen werken. Wel is belangrijk dat de toestemming aan alle eisen van de wet voldoet en dat extra aandacht wordt besteed aan het element ‘vrij’ door te zorgen dat er geen consequenties zitten aan het weigeren van de toestemming en het bieden van een privacyvriendelijker alternatief.
*Bijzondere persoonsgegevens zijn genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele gerichtheid en gegevens die informatie bevatten over: ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond. Ook voor gegevens van strafrechtelijke aard gelden extra wettelijke eisen.
Lees hier ook de blog van Inge Bremmer over de verwerking van biometrische gegevens.