Steeds vaker willen ondernemingsraden digitale verkiezingen houden. Een mogelijkheid is om deze verkiezingen via de e-mailadressen van de werknemers te laten lopen. Mag dit echter wel in het kader van de privacy van de werknemers?
Algemene verordening gegevensbescherming (AVG)
Sinds 25 mei 2018 geldt in heel Europa de Algemene verordening gegevensbescherming (AVG). De AVG is de opvolger van de Wet bescherming persoonsgegevens (Wbp). De uitgangspunten zijn grotendeels gelijk, al is de AVG op onderdelen strenger en vollediger.
Beide wetten zien op bescherming van persoonsgegevens. E-mailadressen zijn, wanneer deze herleidbaar zijn naar een persoon, eveneens persoonsgegevens. Dat betekent dat deze alleen mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, zo staat opgenomen in artikel 5 van de AVG. Daaruit volgt eveneens dat verwerking is beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). Door werknemers verstrekte gegevens mogen wel worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld, maar alleen als dit doel verenigbaar is met het oorspronkelijke doel. Of verwerking voor een ander doel mogelijk is, hangt mede af van:
a) het verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Een vaak gegeven voorbeeld is dat de adresgegevens uit de salarisadministratie wel mogen worden gebruikt om bijvoorbeeld een nieuwe interne gedragscode toe te sturen, maar niet om rechtstreeks commerciële aanbiedingen te doen aan werknemers of om te verkopen aan bijvorbeeld een zorgverzekeraar, die vervolgens de aanbiedingen doet aan de werknemers.
Een bekende casus uit de praktijk gaat over de Mediamarkt als werkgever. Zij had camera’s opgehangen tegen winkeldiefstal (doel: diefstal tegenaan). Deze camerabeelden werden vervolgens gebruikt voor functioneringsgesprekken met werknemers (doel: gedrag werknemers analyseren en beoordelen). Het College bescherming persoonsgegevens, de voorloper van de Autoriteit Persoonsgegevens, heeft toen geoordeeld dat deze doelen niet verenigbaar zijn en de verwerking dus onrechtmatig was.
Gebruik e-mailadressen
Indien een werkgever beschikking heeft over de e-mailadressen van de werknemer (privé of zakelijk), dan is de vraag of deze mogen worden gebruikt voor digitale verkiezingen van de OR. Allereerst is de vraag wat het doel is geweest om de e-mailadressen te verkrijgen?
Privé mailadressen worden vaak verzameld om een eigen account te kunnen aanmaken voor het bekijken van loonstrookjes, om pensioengegevens te kunnen inzien of om communicatie te voeren in het kader van ziekte of re-integratie (zaken betreffende de individuele situatie van de werknemer). Zakelijke mailadressen zijn vaak bedoeld om werknemers te informeren over alle aangelegenheden die de onderneming betreffen. Zo bezien zou het gebruik van privé mailadressen voor OR-verkiezingen eerder met het oorspronkelijke doel onverenigbaar zijn dan het gebruik van zakelijke mailadressen. Immers, OR-verkiezingen hebben voldoende samenhang met de arbeidsrelatie en met zaken die de onderneming betreffen, maar veel minder samenhang met de individuele situatie van de werknemer.
Indien het uitgangspunt wordt gevolgd dat gebruik van privé e-mailadressen onverenigbaar is met gebruik voor digitale OR-verkiezingen, dan betekent dat nog niet dat gebruik onmogelijk is. Er moet dan echter voor het gebruik van de privé e-mailadressen een eigen separate verwerkingsgrondslag gevonden worden in artikel 6 AVG. Hierin is onder andere de grondslag ‘toestemming geven’ opgenomen; de werknemer geeft akkoord voor het gebruiken van zijn privé emailadres voor OR-verkiezingen. Deze toestemming moet echter ondubbelzinnig zijn en in vrijheid zijn gegeven. In de literatuur is discussie of een werknemer, die afhankelijke is van de werkgever, die toestemming wel in vrijheid kan geven. Het is beter de toestemmingsgrondslag in de arbeidsrelatie niet te gebruiken. Overigens is het ook een arbeidsintensief traject om deze toestemming te verkrijgen en registreren en kan de toestemming te allen tijde worden ingetrokken door de werknemer. Andere optie als wettelijke grondslag voor verwerking is de restgrond: de belangenafweging. Weegt het belang van de werkgever bij het gebruik van de privé e-mailadressen zwaarder dan het privacybelang van de werknemers? Hierbij is het noodzakelijkheidscriterium van belang; is de maatregel wel evenredig en zijn en niet minder verstrekkende mogelijkheden voorhanden? De vraag is of de werkgever de belangenafweging wint. Er zijn immers vaak minder verstrekkende middelen voorhanden (zakelijke e-mailadressen, of via een portal, of via intranet, of geen digitale verkiezingen). De kans dat de ondernemer of ondernemingsraad dus een eigen separate grondslag kan vinden om alsnog de privé e-mailadressen van werknemers te gebruiken voor OR-verkiezingen lijkt niet aannemelijk.
Kortom, op basis van de AVG is er ten aanzien van het gebruik van zakelijke e-mailadressen geen problemen in het kader van gebruik voor OR verkiezingen, maar met de privé e-mailadressen mogelijk wel. Veiligheidshalve zouden deze dus niet moeten worden gebruikt.
Tips
Uiteraard blijft voorzichtigheid ook geboden bij het gebruik van zakelijke e-mailadressen!
Let daarbij op de overige vereisten van de AVG. Belangrijk is dat…:
– indien mogelijk de OR de te versturen informatie aan de werkgever zendt, en de werkgever vervolgens deze naar de werknemers zendt. Voorkomen wordt zo dat de OR beschikking krijgt over alle mailadressen;
-dat de digitale systemen die gebruikt worden voor OR-verkiezingen goed beveiligd zijn;
-dat zo min mogelijk OR-leden bij persoonsgegevens kunnen en dat deze gegevens niet te exporteren of kopiëren zijn (geen Excelbestanden of pdf-bestanden, maar in een afgesloten database);
-dat degenen van de OR die persoonsgegevens van werknemers verwerken, getekend hebben voor geheimhouding, zo mogelijk met een boetebeding;
-dat degenen van de OR die persoonsgegevens van werknemers verwerken, getraind zijn in de rechten en plichten die met de AVG samenhangen;
-dat bij de inschakeling van een externe partij voor de organisatie van digitale verkiezingen, indien nodig een verwerkersovereenkomst wordt gesloten.