De kern van de zaak
Een werkgever stuurde na een gewonnen rechtszaak tegen enkele werknemers een e-mail naar het volledige personeel. Aan deze e-mail was de volledige, niet-geanonimiseerde uitspraak van de rechtbank als bijlage toegevoegd. Hierin stonden de volledige naam en het privéadres van een klaagster, die een van de werknemers was in de rechtszaak. De werkneemster diende hierover een klacht in bij de Gegevensbeschermingsautoriteit (GBA) omdat ze vond dat dit een schending van haar privacy was.
De GBA heeft de zaak onderzocht en een beslissing genomen over de verschillende onderdelen van de klacht.
Overzicht van de situatie
-
Wie zijn de partijen?
- De klaagster: Een werkneemster met 17 jaar dienst, die ook vakbondsafgevaardigde was.
- De verweerder: Haar werkgever, een Belgisch bedrijf.
-
Wat is er gebeurd?
- Enkele werknemers, waaronder de klaagster, en twee vakbonden hadden een rechtszaak aangespannen tegen de werkgever over het loonsysteem.
- De werkgever won deze rechtszaak in beroep.
- De dag na de uitspraak stuurde de directie een e-mail naar het hele personeel om hen te informeren over deze "overwinning". Het personeel werd via een verborgen kopie (BCC) toegevoegd.
- Cruciaal: De volledige uitspraak van het Arbeidshof was als bijlage toegevoegd, zonder de persoonsgegevens van de betrokken werknemers (zoals naam en privéadres) onleesbaar te maken.
- De werkneemster diende een klacht in omdat ze dit een schending van de privacywetgeving (AVG/GDPR) vond.
De analyse en beslissing van de GBA
De GBA heeft de klacht punt voor punt geanalyseerd en hierover een oordeel geveld.
1. Was de klacht een "misbruik van recht"?
De werkgever vond dat de klaagster de klacht enkel indiende om het bedrijf te schaden, gezien de al lang bestaande conflicten.
- Beslissing GBA: Nee.
- Uitleg: Iedereen heeft het recht om een klacht in te dienen bij de GBA als men denkt dat zijn of haar privacyrechten geschonden zijn. Het feit dat er een gespannen relatie is, betekent niet automatisch dat de klacht misbruik is. Bovendien is het niet nodig om schade aan te tonen om een klacht te mogen indienen.
2. Ging het om gevoelige gegevens (zoals lidmaatschap van een vakbond)?
De klaagster stelde dat door de e-mail haar lidmaatschap van de vakbond werd onthuld, wat onder de AVG als "gevoelige gegevens" wordt beschouwd en extra beschermd is.
- Beslissing GBA: Nee.
- Uitleg: De rechtbankuitspraak noemde de klaagster nergens een vakbondsvertegenwoordiger, maar gewoon een "werkneemster". Het feit dat ze deelnam aan een rechtszaak die mede door vakbonden was gestart, is onvoldoende om te concluderen dat haar vakbondslidmaatschap werd "onthuld" door deze e-mail. De strenge regels voor gevoelige gegevens waren hier dus niet van toepassing.
3. Had de werkgever een geldige reden (rechtmatige basis) om de gegevens te delen?
Dit is de belangrijkste vraag. De werkgever beriep zich op zijn "gerechtvaardigd belang" om het personeel te informeren over een belangrijke zaak die de toekomst van het bedrijf beïnvloedde. Om dit te beoordelen, gebruikt de GBA een driestappentest:
-
Stap 1: Is het belang van de werkgever legitiem?
- Oordeel GBA: Ja. Het is inderdaad legitiem voor een werkgever om het personeel te informeren over de uitkomst van een rechtszaak met grote financiële en sociale gevolgen.
-
Stap 2: Was het delen van de persoonsgegevens noodzakelijk?
- Oordeel GBA: Nee, en dit is een schending van de AVG.
- Uitleg: De werkgever had zijn doel (het personeel informeren) perfect kunnen bereiken zonder de naam en het privéadres van de klaagster te verspreiden. Het bedrijf had bijvoorbeeld de uitspraak kunnen samenvatten in de e-mail, of de persoonsgegevens in de bijlage onleesbaar kunnen maken (anonimiseren). Het delen van het privéadres was al helemaal niet nodig.
-
Stap 3: Wegen de belangen van de werkgever zwaarder dan de privacy van de werkneemster?
- Oordeel GBA: Deze stap hoeft niet meer beoordeeld te worden, omdat de verwerking al faalde op de noodzakelijkheidstest.
4. Was het gebruik van BCC (verborgen kopie) oneerlijk?
De klaagster vond het stiekem en oneerlijk dat de e-mail via BCC werd verstuurd, waardoor ze niet kon zien wie de ontvangers waren.
- Beslissing GBA: Nee.
- Uitleg: De werkgever gaf een plausibele reden: niet alle werknemers hadden een professioneel e-mailadres. Om de privé-e-mailadressen van die collega's te beschermen, werd BCC gebruikt. Hoewel het gebruik van BCC argwaan kan wekken, kon de GBA geen kwade opzet bewijzen.
5. Was de privacyverklaring van het bedrijf in orde?
De klaagster stelde dat de privacyverklaring van het bedrijf onvolledig was en dat ze die nooit had ontvangen.
- Beslissing GBA: Nee, de werkgever schoot hier tekort.
- Uitleg: De werkgever kon niet bewijzen dat de privacyverklaring daadwerkelijk aan de werknemers was bezorgd. Bovendien was de inhoud van de verklaring onvoldoende. Er ontbraken verplichte elementen, zoals:
- De wettelijke basis voor het verwerken van gegevens (zoals "gerechtvaardigd belang").
- Duidelijke bewaartermijnen voor de gegevens.
- Contactgegevens van de GBA om een klacht in te dienen.
De uiteindelijke sanctie
Op basis van de analyse concludeerde de GBA dat de werkgever de AVG op meerdere punten heeft geschonden:
- Geen geldige reden voor het verspreiden van de persoonsgegevens van de klaagster (schending van artikel 5 en 6 van de AVG).
- Onvoldoende informatie verstrekt aan het personeel via een onvolledige en niet-aantoonbaar gecommuniceerde privacyverklaring (schending van artikel 12 en 14 van de AVG).
De GBA besloot om de werkgever hiervoor een berisping te geven.
Waarom een berisping en geen boete? De GBA vond de schending ernstig, vooral het delen van een privéadres in een professionele context. Maar er werd rekening gehouden met het feit dat het een eenmalige gebeurtenis was, die plaatsvond tijdens de uitzonderlijke omstandigheden van de COVID-19-pandemie. Ook nam de GBA mee dat de werkgever inmiddels zijn beleid heeft aangepast om herhaling te voorkomen.
De beslissing zal geanonimiseerd worden gepubliceerd op de website van de GBA.