Welke gegevens mogen ondernemingen verzamelen in het kader van een diversiteitsbeleid?

In het zog van de “Black Lives Matter”-beweging wensen ondernemingen meer diversiteit in hun personeelsbestand te bewerkstelligen. Werkgevers wensen daarbij soms aan hun werknemers of aan kandidaten te vragen om op vrijwillige basis persoonlijke informatie mee te delen (“diversity monitoring”). Vaak gaat het om gegevens over ras, etnische afkomst, gezondheid, religie, seksuele geaardheid, gender, genderidentiteit of sociale afkomst. Maar in welke mate is de verzameling van deze gegevens toegelaten onder de GDPR?

Gevoelige persoonsgegevens

De GDPR voorziet in een bijzonder regime voor een aantal categorieën van persoonsgegevens omwille van hun gevoelig karakter. Dit gaat meer bepaald over gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gezondheidsgegevens alsook gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.

De verwerking van deze bijzondere categorieën van persoonsgegevens is in principe verboden, tenzij de onderneming zich kan beroepen op een specifieke uitzondering. In het kader van een diversiteitsbeleid zijn de volgende uitzonderingen relevant:

1. De uitdrukkelijke toestemming van de werknemer:

De GDPR vereist dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is. Dit houdt onder meer in dat er geen machtsonevenwicht bestaat tussen de verwerkingsverantwoordelijke en de betrokken persoon. Om die reden is toestemming geen solide uitzondering in het kader van een diversiteitsbeleid op de werkvloer, aangezien werknemers zich onder druk gezet kunnen voelen om zich te laten registreren als iemand die behoort tot de doelgroep.

2. De noodzakelijkheid met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten op gebied van arbeidsrecht:

Tot op heden bestaat er geen algemene wettelijke verplichting of bepaling die toelaat om diversiteit te meten in ondernemingen.

Ondernemingen zouden zich eventueel kunnen baseren op de invoering van zogenaamde “positieve       acties” zoals voorzien in de antidiscriminatiewetgeving. Voor de invoering van een positieve actie moet de onderneming (of de sector) nl. aantonen dat er een ongelijkheid bestaat tussen de personen van de beoogde doelgroep en de overige personen. Volgens de Gegevensbeschermingsautoriteit kan deze ongelijkheid echter ook op een andere manier aangetoond worden dan door de inzameling van persoonsgegevens.

Er bestaat voor Belgische ondernemingen dus geen uitzondering op het verbod van verwerking van gevoelige gegevens in het kader van een diversiteitsbeleid.

Wij hebben slechts weet van één mogelijke uitzondering. Ondernemingen met maatschappelijke zetel of minstens één exploitatiezetel in het Brussels Gewest hebben op basis van Brusselse regelgeving het recht om een diversiteitsplan op te stellen en dit ter goedkeuring voor te leggen aan Actiris. Indien dit diversiteitsplan vervolgens correct wordt uitgevoerd, kan de onderneming een diversiteitslabel toegekend krijgen. In het kader van dit specifieke diversiteitsplan is er een wettelijke toelating om het personeelbestand in te delen in de categorieën van begunstigde werknemers.

Niet-gevoelige persoonsgegevens

Andere persoonsgegevens – waaronder gender, genderidentiteit en sociale afkomst – vallen niet onder de bijzondere categorieën van gevoelige gegevens. Dit betekent echter niet dat deze gegevens zomaar kunnen opgevraagd worden. Ondernemingen moeten immers beschikken over een rechtsgrond.

Zo zouden ondernemingen zich kunnen beroepen op een gerechtvaardigd belang voor de onderneming om meer diversiteit te bekomen. De vraag zal evenwel rijzen of het in dat kader voor een onderneming noodzakelijk is om de werknemers te ondervragen over dergelijke persoonsgebonden gegevens. De onderneming zou desgevallend bovendien in het kader van het accountability principe werk moeten maken van een uitgewerkte balancing test om de belangen van de werkgever af te wegen tegen de belangen van de werknemers.

Discriminatierisico

Er moet tevens worden rekening gehouden met de discriminatiewetgeving die elk onderscheid op basis van een aantal beschermde criteria waaronder ras, afstamming, religie, seksuele geaardheid, maar ook gender, genderidentiteit en sociale afkomst, dat niet gerechtvaardigd kan worden, verbiedt. Een werkgever die het personeel opdeelt in categorieën op basis van de beschermde criteria, verhoogt de aansprakelijkheid in discriminatieclaims.

Anonieme gegevens

In ieder geval mogen zowel gevoelige gegevens als niet-gevoelige gegevens op anonieme basis verzameld en verwerkt worden, aangezien de GDPR niet van toepassing is op anonieme gegevens. Het is dan wel vereist dat de gegevens op geen enkele manier kunnen worden toegeschreven aan een geïdentificeerde of identificeerbare persoon en bijgevolg van begin af aan geanonimiseerd werden (en niet pas geanonimiseerd werden na verzameling).

Actiepunt

Discriminatie is verboden en ondernemingen doen er dan ook goed aan om diversiteit in hun HR-beleid na te streven. Houd er echter rekening mee dat de verwerking van gevoelige persoonsgegevens ook in het kader van een diversiteitsbeleid principieel verboden is en enkel kan op basis van een goed gedocumenteerde rechtsgrond.

Om alle risico’s uit te sluiten, is het dan ook sterk aangewezen om werknemersgegevens enkel op anonieme basis te verzamelen en te verwerken. Dit geldt eveneens wanneer u de inzameling van de gegevens zou uitbesteden aan een derde partij, zoals een onafhankelijk bureau, aangezien u er als verantwoordelijke voor de verwerking verantwoordelijk voor bent dat verwerkers die in uw opdracht gegevens verwerken, eveneens de GDPR naleven.