Update 04 mrt 2020

Privacyrechtelijke toestemming in de arbeidsverhouding

In de praktijk zien wij dat er snel wordt gegrepen naar toestemming als grondslag voor de verwerking van persoonsgegevens. Wij vinden dit niet altijd een even verstandige keuze, zeker niet in een arbeidsverhouding. In dit artikel wordt besproken waarom wij dit vinden.

Verwerkingsgrondslagen

In de kern draait de AVG om de wijze waarop persoonsgegevens van een betrokkene mogen worden verwerkt. In de AVG zijn dan ook zes grondslagen benoemd op basis waarvan persoonsgegevens mogen worden verwerkt[1].

  • (1) Toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden;
  • (2) uitvoering geven aan een overeenkomst waarbij betrokkene partij is;
  • (3) omdat dit noodzakelijk is voor de verwerkingsverantwoordelijke om te voldoen aan een wettelijke plicht;
  • (4) omdat dit noodzakelijk is voor de bescherming van een vitaal belang van de betrokkene of van andere natuurlijke personen;
  • (5) omdat dit voor de verwerkingsverantwoordelijke noodzakelijk is ter vervulling van een taak van algemeen belang of een aan de verwerkingsverantwoordelijke opgedragen taak van openbaar gezag;
  • (6) Omdat dit noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verwerkingsverantwoordelijke (of een derde) dat zwaarder weegt dan de grondrechten en fundamentele vrijheden van de betrokkene.

Toestemming in het algemeen

De eerste verwerkingsgrondslag die in de AVG is benoemd is, kort samengevat, toestemming van de betrokkene. In de ontstaansgeschiedenis van het gegevensbeschermingsrecht heeft ‘toestemming’ een continue rol gespeeld. Zo was in de eerste Resolutie van de Raad van Europa omtrent gegevensbescherming uit 1973 de term ‘toestemming’ al opgenomen, evenals in de eerste Richtlijn van de Organisation for Economic Cooperation and Development uit 1980.[2]

Om het “simpel” te houden moet aan vijf voorwaarden[3] zijn voldaan voordat sprake is van rechtsgeldig, door de betrokkene aan de verwerkingsverantwoordelijke, gegeven toestemming voor het verwerken van persoonsgegevens. De toestemming moet (1) vrijelijk en (2) geïnformeerd zijn gegeven en (3) specifiek, (4) ondubbelzinnig (expliciet) en (5) bewijsbaar zijn. Hiernaast zijn er nog specifieke regels voor het geval dat de betrokkene minderjarig is. Tevens heeft de betrokkene te allen tijde het recht om zijn toestemming in te trekken, waarbij het intrekken van toestemming niet moeilijker mag zijn dan het geven ervan.[4] Hierdoor ontvalt de grondslag aan de gegevensverwerking en is verdere verwerking onrechtmatig, tenzij meerdere grondslagen van toepassing waren.[5]

Toestemming in de arbeidsverhouding

Het gebruik van toestemming in de arbeidsverhouding is problematisch door de eerste voorwaarde, namelijk dat toestemming ‘vrij’ moet zijn gegeven. De tekst van de AVG biedt slechts één aanknopingspunt voor invulling van deze voorwaarde, namelijk dat de betrokkene een vrije keuze moet hebben om zijn toestemming te weigeren zonder nadelige gevolgen.[6] Dit is echter weinig concreet. Bezien we de opvatting van de voorloper van de European Data Protection Board (de Europese Autoriteit Persoonsgegevens) en het Ministerie van Jusitie en Veiligheid dan maakt de voorwaarde van de vrij gegeven toestemming het gebruik van deze grondslag in de arbeidsverhouding problematisch of zelfs onmogelijk. De redenatie hierachter is dat er tussen een werknemer en werkgever een gezagsverhouding bestaat. Deze gezagsverhouding maakt dat een werknemer druk zal voelen om toestemming te verlenen, anders gezegd zal deze dus geen “nee” durven zeggen. Hierdoor is de toestemming niet ‘vrij’ gegeven en daardoor niet rechtsgeldig.

Kortom is het gebruik van toestemming in de arbeidsverhouding alleen mogelijk indien een medewerker de mogelijkheid heeft om het verlenen van toestemming te weigeren, zonder dat daar negatieve gevolgen aan zitten verbonden.

Wat te doen?

Is het dus geheel onmogelijk om gebruik te maken van toestemming? Wij denken van niet, alleen zal je goed moeten kijken naar de reden waarom je toestemming vraagt.

Hoewel toestemming de eerst genoemde verwerkingsgrondslag is in de AVG, denken wij dat het beter is om eerst te beoordelen of er een andere grondslag voor de door jou beoogde verwerking van persoonsgegevens van toepassing kan zijn. Kijk pas als laatste naar toestemming. Is toestemming de enige mogelijke grondslag, beoordeel dan eerst of de door jou beoogde verwerking wel echt noodzakelijk is. Vind je van wel, beoordeel dan de impact die het geven van toestemming heeft voor jouw personeel en of je kan voldoen aan de in de AVG genoemde eisen aan toestemming. Over het algemeen zal gelden, dat hoe kleiner de impact een gegeven toestemming heeft, hoe groter de kans dat de toestemming ook echt zonder gevolgen, dus vrijelijk kan worden gegeven.

Vraag het onze privacyrecht advocaten

Dus aan alle medewerkers toestemming vragen voor het verwerken van hun persoonsgegevens? Denk er nog eens goed over na. Als je vragen hebt neem dan contact op met een van onze privacyrecht advocaten en leg je vraag of vertwijfeling aan hen voor.

 

[1] Artikel 6 AVG

[2] Resolutie 73/22 van de Raad van Europa (26 september 1973) on the protection of individuals vis-à-vis electronic data banks in the private sector. OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data en Kosta 2013, p. 22-23 en 31.

[3] Art. 7 AVG.

[4] Art. 7 lid 3 AVG.

[5] Van der Sloot 2018, p. 65, zie ook Kranenborg en Verhey 2018, p. 148.

[6] Overweging 42 AVG en Kostiç en Varagos Penagos, Computerrecht 2017/153, p. 2.

Jeannot Coomans