Naar aanleiding van de uitbraak van COVID-19 ontving de Gegevensbeschermingsautoriteit recent een aantal terugkerende vragen betreffende de preventieve maatregelen die door bedrijven en werkgevers worden genomen ter voorkoming van de verdere verspreiding van het virus en de voorwaarden waaronder persoonsgegevens - en in het bijzonder gezondheidsgegevens - in dit verband mogen worden verwerkt.
In antwoord op deze vragen brengt de Gegevensbeschermingsautoriteit hieronder enkele algemene principes inzake gegevensbescherming in herinnering en beantwoordt zij een aantal FAQs.
Overeenkomstig artikel 20, 2° van de wet van 3 juli 1978 rust op de werkgever de verplichting “als een goed huisvader te zorgen dat de arbeid wordt verricht in behoorlijke omstandigheden met betrekking tot de veiligheid en de gezondheid van de werknemer”. In uitvoering van deze bepaling treffen vele werkgevers dan ook preventiemaatregelen. De vraag rijst evenwel hoe deze verplichting zich verhoudt tot het recht van de werknemer op bescherming van zijn privéleven en persoonsgegevens.
Het komt de werkgever uiteraard toe een aantal preventiemaatregelen te treffen inzake werkorganisatie (flexibele werkuren, telewerk, uitstel personeelsfeesten, …) evenals sensibilisering inzake sociale afstand en hygiëne op de werkvloer (zie website FOD Werkgelegenheid). Van zodra te nemen preventiemaatregelen echter gepaard zouden gaan met een verwerking van persoonsgegevens, moeten ook de bepalingen van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) gerespecteerd worden.
Volksgezondheid is voor de GBA van het allergrootste belang en preventie en recht op privéleven zijn niet tegenstrijdig. We bevelen wel aan om de instructies van de bevoegde overheden - onder meer de FOD Volksgezondheid - na te leven zodat alle genomen maatregelen evenredig zijn. Zo wordt zowel een goede levenshygiëne als een goede “gegevenshygiëne” verzekerd!
Ook in het kader van het nemen van preventieve gezondheidsmaatregelen geldt als algemeen principe dat elke verwerking van persoonsgegevens dient te voldoen aan de voorwaarden van artikel 6.1 AVG en gesteund moet zijn op één van de in dit artikel vermelde rechtmatigheidsgronden.
In dit verband dient er in het bijzonder op te worden gewezen dat in deze fase en op basis van de laatste informatie gepubliceerd door de FOD Volksgezondheid met betrekking tot COVID-19 geen reden bestaat voor een ruimere of systematische toepassing van de rechtmatigheidsgrond vervat in artikel 6.1, d) AVG (“noodzaak van de verwerking voor de bescherming van de vitale belangen van de betrokkene of andere natuurlijke personen”) in het kader van het nemen van preventiemaatregelen door bedrijven en werkgevers.
Dit geldt des te meer voor de verwerking van gezondheidsgegevens, waarvoor artikel 9 AVG in principe een verwerkingsverbod voorschrijft. Er dient op te worden gewezen dat bedrijven en werkgevers zich voor de verwerking van deze categorie van persoonsgegevens uitsluitend kunnen beroepen op artikel 9.2, i) AVG indien zij handelen in uitvoering van uitdrukkelijke richtlijnen opgelegd door de bevoegde overheden.
Verder dient de beoordeling van de risico’s voor de gezondheid bovendien niet te worden uitgevoerd door de bedrijven en werkgevers maar door de arbeidsgeneesheer, die bevoegd is voor de opsporing van besmettingen en voor het informeren van de werkgever en de personen die in contact kwamen met de besmette persoon. Deze informatie wordt door de bedrijfsarts verstrekt op basis van de artikel 6.1, c) en 9.2, b) AVG (verwerking ter uitvoering van een arbeidsrechtelijke verplichting).
Bij het verwerken van persoonsgegevens in het kader de tenuitvoerlegging van “COVID-19”- preventiemaatregelen dienen naast de voormelde AVG-bepalingen bovendien de algemene beginselen inzake gegevensverwerking te worden gerespecteerd.
In het bijzonder dienen maatregelen die een verwerking van persoonsgegevens inhouden het proportionaliteitsbeginsel en het beginsel van minimale gegevensverwerking in acht te nemen (artikel 5.1, c) en e) AVG).
Zoals bij elke gegevensverwerking mag immers slechts de minimaal noodzakelijke hoeveelheid gegevens worden verwerkt om het vooropgestelde doel te bereiken.
Verder dienen bedrijven transparant te zijn betreffende de genomen maatregelen en hun werknemers en bezoekers afdoende te informeren betreffende de verwerkingsdoeleinden en de bewaartermijn van de in dit kader verzamelde persoonsgegevens (artikel 5.1, a) AVG).
Tot slot moeten ook de nodige beveiligingsmaatregelen in acht worden genomen ter bescherming van de te verwerken persoonsgegevens (artikel 32 AVG).
A) Mag een bedrijf of werkgever algemene en systematische controles van de lichaamstemperatuur van werknemers en/of bezoekers uitoefenen?
De GBA beschouwt de loutere opname van de lichaamstemperatuur niet als een verwerking van persoonsgegevens. Voor zover dergelijke temperatuuropname dus niet gepaard gaat met een bijkomende registratie of verwerking van persoonsgegevens, is de AVG niet van toepassing.
In het algemeen geldt hier dat een werkgever geen maatregelen kan nemen die het bestaande arbeidsrechtelijk regelgevend kader of instructies van bevoegde overheden te buiten gaan.
B) Mag een werkgever zijn werknemers verplichten een medische vragenlijst of vragenlijst betreffende zijn recente reizen in te vullen?
De werkgever kan werknemers niet verplichten tot het invullen van dergelijke vragenlijsten. Het is aangewezen werknemers aan te zetten tot het spontaan melden van risicovolle reizen of symptomen. Ook in dit geval dient de rol van de arbeidsgeneesheer te worden benadrukt.
C) Mag een bedrijf of werkgever in het kader van de voorkoming van de verdere verspreiding van het virus de namen van besmette personen/werknemers bekendmaken?
Op grond van het vertrouwelijkheidsbeginsel (artikel 5.1, f) AVG*) en het beginsel van de minimale gegevensverwerking (artikel 5.1, c) AVG) mag een werkgever de namen van betrokken personen niet zomaar binnen het bedrijf bekendmaken. Ook proportionaliteit is een belangrijk na te leven uitgangspunt bij het verwerken van (al dan niet medische) persoonsgegevens. Met het oog op bijvoorbeeld de preventie van verdere verspreiding mag de werkgever uiteraard wel andere werknemers op de hoogte brengen van een besmetting, zonder vermelding van de identiteit van de betrokken perso(o)n(en).
Het is inderdaad in de meeste gevallen niet nodig (of zelfs wenselijk) om een naam te vermelden, omdat dit ook een stigmatiserend effect zou kunnen hebben.
De naam van de besmette persoon mag wel gecommuniceerd worden aan de arbeidsgeneesheer of de bevoegde overheidsdiensten.
D) Kan mijn werkgever me verbieden in mijn vrije tijd vergaderingen bij te wonen, samen te komen met vrienden en familie, naar het buitenland te reizen?
Voor zover deze vragen van een werkgever aan zijn werknemer niet gepaard gaan met een effectieve verwerking van persoonsgegevens, is de AVG niet van toepassing. In het algemeen geldt wel dat een werkgever geen maatregelen kan nemen die het bestaande arbeidsrechtelijk regelgevend kader of instructies van bevoegde overheden te buiten gaan.
E) Bijkomende vragen?
Heeft u na het lezen van dit bericht nog verdere vragen betreffende de verwerking van persoonsgegevens in het kader van de tenuitvoerlegging van preventiemaatregelen betreffende COVID-19, dan kan u deze richten aan de Gegevensbeschermingsautoriteit via het adres contact@apd-gba.be.
*Tekst gepubliceerd op 13/03/2020 en laatst bijgewerkt op 02/04/2020. Deze tekst kan geüpdatet worden naarmate de situatie evolueert. Volg de aanbevelingen van de bevoegde overheden, in het bijzonder de FOD Volksgezondheid.
Bron : GBA, Themadossiers, "Epidemie Covid-19"