Dit artikeltje gaat over de AVG in de context van sollicitaties en arbeids- of vrijwilligerscontracten. Hierbij geldt als hoofdregel dat niet zomaar alles gedeeld hoeft te worden, ook niet als daar naar wordt gevraagd. Er wordt namelijk vaak gedacht dat als iemand zelf gegevens openbaar heeft gemaakt, of deze zelf toestemming geeft om informatie te delen, dat verwerking dan gewoon mag. Het tegendeel is waar.
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018, geldt in de hele Europese Unie dezelfde pittige privacywetgeving. De AVG hield de gemoederen vorig jaar dan ook behoorlijk bezig. De aandacht is wat geluwd maar er zijn ook juist bedrijven en instellingen die dezer dagen de AVG-puntjes op de i zetten. Immers is AVG- compliance belangrijk om aan te kunnen tonen bijvoorbeeld in aanbestedingstrajecten
Ook als gegevens beschikbaar zijn op het net hoeft er niet naar gekeken te worden als dat niet nodig is. Toestemming is bijna nooit een geoorloofde grond voor gegevensverwerking als het gaat om dit soort van contracten. Daarbij dient men altijd transparant te zijn over welke gegevens worden verwerkt. Daarover dient dus informatie te worden gegeven. Ook dienen de persoonsgegevens die vergaard worden in deze context goed te worden beveiligd. Wil je méér weten over gegevensbescherming van werknemers en vrijwilligers?
Privacy tijdens een sollicitatieprocedure
In sollicitatieprocedures dient voorzichtig te worden omgegaan met de persoonsgegevens van een sollicitant. Er mag niet worden gevraagd naar persoonsgegevens als deze niet relevant zijn voor het doel van de sollicitatie. Denk hierbij bijvoorbeeld aan vragen over de gezondheid van de sollicitant of andere privézaken zoals geloofsovertuiging.
Een medische keuring mag niet, tenzij de functie bijzondere eisen stelt aan medische geschiktheid en er dus een gerechtvaardigd belang aan ten grondslag ligt.
Ook mag een sollicitant niet verplicht worden om een pasfoto mee te sturen of een video in te sturen. Ook met screening op social media dient terughoudend te worden omgegaan. Vaak wordt gedacht dat alles wat op straat ligt mag worden opgeraapt, maar dat is niet zo. Het zal niet snel voorkomen dat het bekijken van een facebooksite noodzakelijk is in de context van arbeid of vrijwilligerswerk. Facebook is al vlug té privé en niet nodig om uit te putten.
Als een sollicitant wordt afgewezen, dan dienen de gegevens binnen een redelijke termijn verwijderd te worden, tenzij de sollicitant toestemming geeft om de gegevens nog voor maximaal een jaar te bewaren. Wanneer de sollicitant (alsnog) zijn cv of andere gegevensverwerking verwijderd wil zien, dan dient men binnen 4 weken (met een verlengingsmogelijkheid) aan die wens te voldoen.
Privacy na sluiten van de overeenkomst
Na het sluiten van een overeenkomst mag ‘een personeelsdossier’ worden aangelegd als dat noodzakelijk is. Dat dossier mag ook weer niet zomaar álle gegevens bevatten, maar enkel de gegevens die noodzakelijk zijn om de overeenkomst uit te voeren of aan een wettelijke verplichting te voldoen.
Zo is een kopie van het identiteitsbewijs van een werknemer bijvoorbeeld nodig voor de loonadministratie maar een identiteitsbewijs van een vrijwilliger zal op die basis dus niet vlug gevraagd kunnen worden. Een personeelsdossier moet ook regelmatig worden opgeschoond.Altijd dient de vraag te worden gesteld wat strikt noodzakelijk is om te verwerken in de context van de overeenkomst. Zo zal het ophangen van camera’s om werknemers en vrijwilligers te monitoren zelden een geoorloofde basis kennen. Dat zal slechts in uitzonderingsgevallen, bijvoorbeeld bij een concrete verdenking van fraude, rechtmatig zijn.
Er is ook altijd een recht om het personeelsdossier in te zien. Daarbij heeft de werknemer of vrijwilliger ook het recht om onjuiste persoonsgegevens te wijzigen, gegevens aan te vullen of te beperken of zelfs helemaal uit het personeelsdossier verwijderd te krijgen. Na het einde van het contract mag een personeelsdossier nog twee jaar worden bewaard. Overigens geldt voor fiscaal relevante gegevens op basis van fiscale wetgeving een langere bewaarplicht van 5 en 7 jaar.
Privacy bij ziekte
Bij ziekte mag door een werkgever worden gevraagd naar informatie die noodzakelijk is bij de beoordeling van het recht op loondoorbetaling en het beoordelen van de re-integratiemogelijkheden. Er mag bijvoorbeeld worden gevraagd naar hoe lang men denkt afwezig te zijn. Naar de aard van de ziekte mag door een werkgever niet worden gevraagd. Dat is voor werkgevers soms frustrerend maar het mag eenvoudigweg niet. Een werkgever mag bij een werknemer dus niet informeren naar de aard en de oorzaak van de ziekte. Dit zijn medische gegevens die alleen de arbodienst of de bedrijfsarts mag verwerken.Als de ziekte wordt veroorzaakt door een bedrijfsongeval dan ligt dat overigens iets anders. Dan kan er een gerechtvaardigd belang zijn voor het vergaren van nadere informatie door de werkgever i.v.m. aansprakelijkheidsclaims op derden bijvoorbeeld.
Privacyregels beschermen werknemers en vrijwilligers
Werknemers en vrijwilligers worden qua privacy beschermd door een pittige set aan regels. Niet alles hoeft zomaar gedeeld te worden en verwerking mag alleen als het nodig is voor het doel van de overeenkomst of als daar een wettelijke plicht voor aanwezig is.Daarnaast kunnen er gerechtvaardigde belangen zijn die tot gegevensverwerking nopen, maar dat is niet een restcategorie waar alles zo’n beetje onder te schuiven is. Er moeten zwaarwegende belangen aan ten grondslag liggen.
Het komt er dus op neer dat er altijd een AVG-grond moet zijn die het noodzakelijk maakt om gegevens te verwerken. Dit mag in de context van een arbeidsovereenkomst of een vrijwilligersovereenkomst als de verwerking nodig is voor de uitvoering van die overeenkomst. Ten tweede mag het als hiertoe een wettelijke verplichting bestaat (belastingwetgeving).Ten derde mogen persoonsgegevens worden verwerkt als men daartoe een gerechtvaardigd belang heeft (bijv. cameratoezicht om bij een concrete aanwijzing fraude op te lossen of medische gegeven i.v.m. een aansprakelijkheidsclaim ). Bij ziekte worden er meerdere partijen betrokken bij de zieke werknemer, denk bijvoorbeeld aan de arbodienst, de verzekeraar en het UWV. Al deze partijen verwerken gegevens over de zieke werknemer op basis van een eigen AVG-grond.
Toestemming is niet vaak een grondslag die soelaas biedt in het kader van een arbeidsovereenkomst of een vrijwilligersovereenkomst. Alle persoonsgegevens die verwerkt worden van werknemers of vrijwilligers dienen goed te worden beveiligd.
Wil je meer weten over de privacyregels van werknemers en werkgevers. Neem dan gerust contact op met Michel Simons van Sumrin Advocaten (m.simons@sumrin.nl of 06 214 802 26) en met dank aan Rick van Tulden.