FOCUS RGPD et employés : quel cadre légal ?

FOCUS AVG en medewerkers: welk juridisch kader?

Legal Watch – mei 2019.

Twee recente zaken rondom een grote online boekwinkel roepen vragen op over de vrijheid die werknemers hebben bij het verwerken van persoonsgegevens van klanten van het bedrijf.

Hoewel de gegevensverwerking inmiddels gedetailleerd is geregeld in de wet en in talloze richtlijnen – of het nu gaat om de CNIL of de Europese Raad voor Gegevensbescherming (EDPB) – roepen de verantwoordelijkheden binnen het bedrijf zelf nog steeds veel vragen op.

Wat is de verantwoordelijkheid van de werkgever met betrekking tot de verwerking van persoonsgegevens door zijn werknemers? Hierbij moeten een paar principes in gedachten worden gehouden:

De reikwijdte van de AVG is breed[1]. De geautomatiseerde verwerking van persoonsgegevens omvat immers bewerkingen die met gegevens worden uitgevoerd met behulp van software die traditioneel in bedrijven wordt gebruikt: databases, e-mail, spreadsheets bijvoorbeeld, maar ook, waar van toepassing, gegevensverwerking met behulp van tekstverwerkingssoftware.

De verantwoordelijkheid voor de handelingen van werknemers ligt in het algemeen bij de werkgever, op grond van het Burgerlijk Wetboek2 maar ook op grond van de AVG, omdat de werkgever de verwerkingsverantwoordelijke is: het is de werkgever die de middelen en doeleinden van de verwerking in de zin van de wet3 vaststelt.

Om dezelfde reden is de werkgever aansprakelijk in geval van een inbreuk op de beveiliging, zelfs als deze het gevolg is van handelingen van een werknemer. De werkgever is immers degene die de verplichting heeft om de gegevens binnen zijn bedrijf te beveiligen4.

Indien de werkgever aansprakelijk is jegens derden, kan hij uiteraard optreden tegen de werknemer die onrechtmatig heeft gehandeld, met name wegens schending van het vertrouwen of fraude, en hem een disciplinaire sanctie of zelfs ontslag opleggen. Ook het frauduleus toegang verkrijgen tot of toegang houden tot (een deel van) een geautomatiseerd gegevensverwerkingssysteem is strafbaar.

Los van de aansprakelijkheid van de werkgever kan de werknemer ook zelf aansprakelijk zijn tegenover zijn werkgever, maar ook tegenover derden: de werknemer die afwijkt van de instructies van de werkgever en zijn eigen doeleinden nastreeft, wordt zelf verantwoordelijk voor de verwerking in de zin van de wet (zie de analyse van de Europese Werkgroep over artikel 29 lid 6 – nu EDPB).

Hetzelfde geldt als hij het IT-handvest van het bedrijf schendt en de gegevens voor eigen rekening gebruikt.

Concluderend is het essentieel dat de werkgever de volgende voorzorgsmaatregelen neemt:

  • Definieer de doeleinden en middelen van de verwerking nauwkeurig en breng dit kader onder de aandacht van de werknemers
  • Laat ze een geheimhoudingsclausule ondertekenen die is toegevoegd aan het arbeidscontract, evenals een IT-charter
  • Betrek de FG en de ondernemingsraad bij het opstellen van deze documenten.

Deze voorzorgsmaatregelen hebben het dubbele voordeel dat de mensen van wie gegevens worden verwerkt, beter worden beschermd en dat de aansprakelijkheid van de werkgever bij misbruik duidelijker wordt.

Opgemerkt dient te worden dat ook werknemers baat hebben bij de bescherming van hun privacy – en hun persoonsgegevens – op de werkplek. Dit zal onderwerp zijn van verdere ontwikkelingen.

En ook:

In Frankrijk:

Op 15 april publiceerde de CNIL haar activiteitenverslag en kondigde aan dat zij haar toekomstige controles zou toespitsen op de naleving van de rechten van personen, de verwerking van gegevens van minderjarigen en de verdeling van de verantwoordelijkheden tussen de verwerkingsverantwoordelijke en de onderaannemer.

Onder voorzitterschap van Marie-Laure Denis heeft de CNIL een nieuw college.

In Europa:

Op 12 april heeft de EDPB richtsnoeren aangenomen over gegevensverzameling in het kader van diensten van de informatiemaatschappij, met bijzondere aandacht voor de wettelijke basis voor gegevensverzameling in het kader van een contractuele relatie met de klant (artikel 6, lid 1, onder B, AVG). Deze tekst is tot 24 mei onderworpen aan openbare consultatie.

In de wereld:

Nigeria neemt een wetgeving inzake gegevensbescherming aan die vergelijkbaar is met de AVG.

1 Artikelen 2.1. en 4 1) en 2) AVG.

2 Zie in het bijzonder artikel 1242 lid 1 en lid 5 van het Burgerlijk Wetboek.

3 Artikel 4.7) AVG.

4 Artikel 32 AVG.

5 Artikel 323-1 van het Strafwetboek.

6 Pagina 16

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL