In het zog van de “Black Lives Matter”-beweging streven ondernemingen ernaar om meer diversiteit in hun personeelsbestand te bewerkstelligen. Werkgevers wensen daarbij soms aan hun werknemers of aan kandidaten te vragen om op vrijwillige basis persoonlijke informatie mee te delen (“diversity monitoring”). Vaak gaat het om enquêtes met vragen over ras, etnische afkomst, gezondheid, religie, seksuele geaardheid, gender, genderidentiteit of sociale afkomst.
Maar in welke mate is de verzameling van deze gegevens toegelaten onder de GDPR?
De GDPR voorziet in een bijzonder regime voor een aantal categorieën van persoonsgegevens omwille van hun gevoelig karakter. Dit gaat meer bepaald over gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gezondheidsgegevens alsook gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
De verwerking van deze bijzondere categorieën van persoonsgegevens is in principe verboden, tenzij de onderneming zich kan beroepen op een specifieke uitzondering. Dit geldt eveneens wanneer de onderneming de inzameling van de gegevens zou uitbesteden aan een derde partij, zoals een onafhankelijk bureau, aangezien de werkgever als verwerkingsverantwoordelijke verplicht is erop toe te zien dat v verwerkers die in zijn opdracht gegevens verwerken, eveneens de GDPR naleven. In het kader van een diversiteitsbeleid zijn de volgende uitzonderingen relevant:
(i) De uitdrukkelijke toestemming van de werknemer:
De GDPR vereist dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is. Dit houdt onder meer in dat er geen machtsonevenwicht bestaat tussen de verwerkingsverantwoordelijke en de betrokken persoon. Om die reden is toestemming geen solide uitzondering in het kader van een diversiteitsbeleid op de werkvloer, aangezien werknemers zich onder druk gezet kunnen voelen om zich te laten registreren als iemand die behoort tot de doelgroep.
(ii) De noodzakelijkheid met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten op gebied van arbeidsrecht:
Tot op heden bestaat er geen algemene wettelijke verplichting of bepaling die toelaat om diversiteit te meten in ondernemingen. Ondernemingen zouden zich eventueel kunnen baseren op de invoering van zogenaamde “positieve acties” zoals voorzien in de antidiscriminatiewetgeving. Voor de invoering van een positieve actie moet de onderneming (of de sector) nl. aantonen dat er een ongelijkheid bestaat tussen de personen van de beoogde doelgroep en de overige personen. Volgens de Gegevensbeschermingsautoriteit kan deze ongelijkheid echter ook op een andere manier aangetoond worden dan door de inzameling van persoonsgegevens. Bijgevolg kan de regelgeving inzake positieve acties volgens de Gegevensbeschermingsautoriteit niet als uitzondering worden ingeroepen op het verbod op verwerking van gevoelige persoonsgegevens..
… tenzij in Brussel via een diversiteitsplan (Actiris):
Enkel ondernemingen met maatschappelijke zetel of minstens één exploitatiezetel in het Brussels Gewest kunnen zich baseren op een uitzondering voorzien in de Brusselse regelgeving. Volgens het Besluit van de Brusselse Regering van 7 mei 2009 hebben Brusselse ondernemingen inderdaad de toelating om hun personeelsbestand op te delen in categorieën van begunstigde werknemers om op die manier een diversiteitsplan op te stellen en dit ter goedkeuring voor te leggen aan Actiris. Indien dit diversiteitsplan vervolgens correct wordt uitgevoerd, kan de onderneming een diversiteitslabel toegekend krijgen
Het is wel zo dat ondernemingen voor het opstellen van een diversiteitsplan de voorafgaandelijke steun nodig hebben van de ondernemingsraad, van het CPBW of van de vakbondsafvaardiging. Eens die steun bekomen is, kan de onderneming aan de slag met het tweejarig traject dat uit de volgende negen stappen bestaat:
Andere persoonsgegevens – waaronder gender, genderidentiteit en sociale afkomst – vallen niet onder de bijzondere categorieën van gevoelige gegevens. Dit betekent echter niet dat deze gegevens zomaar kunnen opgevraagd worden. Ondernemingen moeten immers beschikken over een rechtsgrond.
Zo zouden ondernemingen zich kunnen beroepen op een gerechtvaardigd belang voor de onderneming om meer diversiteit te bekomen. De vraag zal evenwel rijzen of het in dat kader voor een onderneming noodzakelijk is om de werknemers te ondervragen over dergelijke persoonsgebonden gegevens. De onderneming zou desgevallend bovendien in het kader van het accountability principe werk moeten maken van een uitgewerkte balancing test om de belangen van de werkgever af te wegen tegen de belangen van de werknemers.
In ieder geval mogen zowel gevoelige gegevens als niet-gevoelige gegevens op anonieme basis verzameld en verwerkt worden, aangezien de GDPR niet van toepassing is op anonieme gegevens. Om alle risico’s uit te sluiten, is het dan ook sterk aangewezen om werknemersgegevens enkel op anonieme basis te verzamelen en te verwerken. Het is dan wel vereist dat de gegevens op geen enkele manier kunnen worden toegeschreven aan een geïdentificeerde of identificeerbare persoon en bijgevolg van begin af aan geanonimiseerd werden (en niet pas geanonimiseerd werden na verzameling).
Door Lauren Daniels, Advocaat bij Claeys & Engels
Bron: BECI