In een recente beslissing heeft de Gegevensbeschermingsautoriteit (GBA) het belang van het recht op inzage in herinnering gebracht. Het recht op inzage vormt één van de belangrijkste bepalingen uit de gegevensbeschermingswetgeving, aangezien het een « toegangspoort » vormt die de uitoefening van de andere rechten  voorzien in de GDPR (AVG) mogelijk maakt. Hoewel de GBA erkent dat het recht op inzage niet absoluut is, en rekening moet worden gehouden met  de rechten en vrijheden van anderen mag dit er echter niet toe leiden dat elk recht op inzage wordt geweigerd.

De feiten

Een werknemer in dienst bij een onderneming actief in IT consulting had zijn werkgever verzocht tot inzage en/of kopie van alle over hem verzamelde persoonsgegevens. De werknemer oordeelde dat de werkgever onvoldoende gevolg gaf aan zijn verzoek en diende bijgevolg een klacht in bij de GBA. In zijn klacht stelde de werknemer ook dat de werkgever tijdens bedrijfsevenementen foto’s nam van werknemers en deze vervolgens, zonder voorafgaande toestemming, op het intranet publiceerde.   

Beslissing van de Geschillenkamer van de GBA

De GBA verduidelijkt op welke wijze de werkgever dient te antwoorden op het verzoek van de betrokkene tot inzage en/of kopie van zijn persoonsgegevens zonder afbreuk te doen aan de rechten en vrijheden van anderen, en benadrukt dat bovenstaande afweging er in geen geval toe kan leiden dat aan de betrokkene (de werknemer) alle informatie wordt onthouden.

Om te beginnen worden de drie beginselen van artikel 15 AVG nogmaals uiteengezet:

• de betrokkene heeft het recht om op elk moment te vragen of er al dan niet persoonsgegevens over hem worden verwerkt;
• wanneer dat het geval is, heeft de betrokkene het recht om inzage te verkrijgen van die persoonsgegevens en van de informatie over de verwerking vermeld in artikel 15, lid 1, a)-h) AVG;
• de betrokkene heeft het recht om gratis een kopie van zijn persoonsgegevens te verkrijgen.

Vervolgens licht de GBA toe wanneer aan de doelstelling van het recht tot inzage en/of kopie is voldaan en in welke gevallen het gerechtvaardigd is om het recht op inzage en/of kopie te beperken.  

1. Recht tot inzage in aantekeningen en opmerkingen in het personeelsdossier

De GBA erkent dat de werkgever erover moet waken dat het recht op inzage geen afbreuk doet aan de rechten en vrijheden van anderen. Echter oordeelt de GBA dat het risico op schending van de persoonsgegevens van voormalige leidinggevenden en de HR manager geen reden kan zijn om het recht op inzage te weigeren. Teneinde aan de doelstelling van het recht op inzage te voldoen had de werkgever de persoonsgegevens van deze leidinggevenden moeten anonimiseren.

Schending van de artikelen 15.1 en 15.3 AVG door de werkgever.

2. Recht tot inzage in IT logs

In de eerste plaats wordt het bijhouden van IT logs door de GBA aanbevolen teneinde de bescherming van de persoonsgegevens te waarborgen.

Betreffende het recht tot inzage in IT logs, bevestigt de GBA dat de rechten en vrijheden van anderen er niet toe kunnen leiden dat het recht op inzage te allen tijde wordt geweigerd en zal er, net als in bovenstaand geval, voorkeur moet worden gegeven aan de regel van anonimisering van de IT logs om te voldoen aan de vereisten van het recht tot inzage.

De GBA erkent echter wel, steunend op rechtspraak van het Europese Hof van Justitie, dat het noodzakelijk is om een balans te maken tussen de uitoefening van het recht tot inzage van de werknemer en de grote administratieve werkdruk die de verplichting tot naleving van dit recht met zich meebrengt (tweede argument door de werkgever aangevoerd).

Bijgevolg oordeelde de GBA dat het inwilligen van het verzoek van de klager tot inzage in IT logs  een onevenredige verplichting aan de werkgever zou opleggen om het recht tot inzage van de betrokkene uit te oefenen.

Bijgevolg werd artikel 15.1 AVG niet geschonden.

3. Verzoek om kopie van e-mails

De GBA benadrukt dat het feit dat een werknemer op het moment van zijn verzoek toegang had tot e-mails, geen afbreuk doet aan zijn recht om een kopie te verkrijgen, en de werkgever bijgevolg om die reden niet kan worden vrijgesteld van zijn verplichting (eerste argument aangevoerd door de werkgever).

Vervolgens oordeelde de GBA dat het risico op schending van persoonsgegevens van de afzenders of ontvangers van desbetreffende e-mails (tweede argument van de werkgever) geen reden kan zijn om het recht op inzage te weigeren, en de werkgever bijgevolg de persoonsgegevens van andere ontvangers of afzenders van de e-mails had moeten anonimiseren.

De GBA aanvaardt wel dat een verzoek tot een kopie van e-mails kan worden geweigerd op basis van de confidentialiteit van de ondernemingsgegevens. Hoewel het zakengeheim restrictief moet worden uitgelegd, stelde de GBA dat, gelet op de potentieel gevoelige informatie in de betrokken e-mails, het risico van schending het zakengeheim van de werkgever in deze zaak voldoende werd aangetoond. De GBA wijst er echter op dat wanneer dit risico niet kan worden aangetoond, de werkgever het recht op inzage niet mag weigeren en de persoonsgegevens van derden bijgevolg zal moeten anonimiseren. Geen schending door de werkgever van artikel 15.3 van de AVG.

Recht op afbeelding

Voorafgaand is het belangrijk om op te merken dat de GBA zich enkel uitspreekt over het recht op afbeelding.

Wanneer een werknemer zich beroept op zijn recht op afbeelding inzake foto’s genomen tijdens bedrijfsevenementen, zal hij duidelijk moeten aantonen dat de genomen foto’s gericht waren. Bij het maken en verspreiden van een gerichte foto zal er immers altijd toestemming vereist zijn. In het onderhavige geval toonde de werknemer echter niet aan dat er gerichte foto’s van hemzelf waren gemaakt of verspreid, noch dat dergelijke foto’s werden genomen tijdens de door de werkgever georganiseerde bedrijfsevenementen.

Bovendien merkt de GBA op dat de werkgever aan de werknemers die liever niet hadden dat hun foto’s werden opgeslagen of verspreid op het intranet, had verzocht om contact op te nemen met de DPR teneinde deze foto’s te  verwijderen.

In casu werd geen inbreuk op het recht op afbeelding vastgesteld.

Actiepunt

We zien meer en meer dat (voormalige) werknemers hun werkgever verzoeken tot inzage en/of kopie van hun persoonsgegevens. Bovenstaande beslissing is interessant omdat het verduidelijkt hoe de werkgever zo’n verzoek moet beantwoorden.

Indien u meent dat u, bij het inwilligen van een verzoek tot inzage, het risico loopt om de rechten en vrijheden van anderen te schenden, is het aangeraden de persoonsgegevens van derden te anonimiseren teneinde te voldoen aan  het recht tot inzage. Indien u als werkgever het risico op schending van het zakengeheim kan bewijzen (bv. ingeval van potentieel gevoelige informatie), is het toegestaan het recht op inzage te weigeren. Verder kan een verzoek tot inzage ook worden geweigerd ingeval het een onevenredige werklast voor de werkgever met zich mee zou brengen (bv. het systematisch doorzoeken van alle IT-logs).

Zorg er tot slot altijd voor dat u voorafgaande toestemming vraagt aan uw werknemers wanneer  er gerichte foto’s worden gemaakt, gepubliceerd of verspreid.