Voor mijn reiskosten ontvang ik van mijn werkgever een vaste vergoeding. Gedurende het kalenderjaar wordt er aan de hand van de beveiligingsdata op mijn badge gekeken hoe vaak ik daadwerkelijk op kantoor ben geweest. Iedere dag dat mijn badge niet in het beveiligingssysteem staat geregistreerd, dien ik terugbetalen. Door het verplichte thuiswerken als gevolg van de coronacrisis moet ik mijn vaste vergoeding aan mijn werkgever terug betalen. In een artikel op Data&Privacyweb lees ik dat dit in strijd is met de privacywet. Met dit artikel ben ik naar mijn werkgever gegaan, maar hier wordt niets mee gedaan. Mijn vraag: handelt mijn werkgever inderdaad in strijd met de AVG? Beschermt de privacywet mij en wat zou ik hier tegen kunnen doen?
Op grond van de Algemene verordening gegevensbescherming (“AVG”) mogen persoonsgegevens alleen worden verzameld voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’. Persoonsgegevens mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden. Dit wordt het beginsel van doelbinding genoemd. (1) Het komt erop neer dat persoonsgegevens die voor doel X zijn verzameld, niet zomaar ook voor doel Y mogen worden gebruikt.
Alvorens een werkgever begint het verwerken van persoonsgegevens, moet hij het doel van de verwerking bepalen. Het doel van de verwerking moet zo nauwkeurig en volledig mogelijk worden omschreven. In het geval er meerdere doelstellingen zijn voor de verwerking van persoonsgegevens, moet de werkgever deze afzonderlijk noemen en toetsen op de noodzaak om hiervoor persoonsgegevens te verzamelen.
In de onderhavige vraag gaan we er in eerste instantie vanuit dat er sprake is van een ander doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Wanneer verwerking voor een ander doel verenigbaar is met het doel waardoor de persoonsgegevens aanvankelijk zijn verzameld, is deze verdere verwerking toegestaan zonder inbreuk te maken op de doelbinding. Het beginsel van doelbinding is echter niet absoluut. Het zou namelijk leiden tot een grote mate van inflexibiliteit en inefficiëntie, omdat gegevens die voor een bepaald doel zijn verzameld, dan nooit verder verwerkt zouden mogen worden met het oog op een ander gerechtvaardigd doel. Daarentegen dient de verdere verwerking van gegevens voor een ander doel dan waarvoor deze aanvankelijk zijn verzameld terughoudend plaats te vinden, indien het gaat om verdere verwerking voor een doel dat niet verenigbaar is met het doel waarvoor de gegevens zijn verzameld. (2)
Het uitgangspunt uit AVG is dat verdere verwerking is toegestaan als het andere doel verenigbaar is met het doel waarvoor de gegevens aanvankelijk zijn verzameld. (3) Tevens is – ook als het andere doel niet verenigbaar is met het oorspronkelijke doel – verdere verwerking toegestaan met toestemming van betrokkene of op basis van een Unierechtelijke of lidstatelijke bepaling. (4) Samengevat is verdere verwerking toegestaan in de volgende situaties:
wanneer er sprake is van een verenigbaar doel, waarbij de verwerkingsverantwoordelijke moet toetsen aan de criteria uit artikel 6 lid 4 AVG;
wanneer betrokkene toestemming heeft gegeven voor de verdere verwerking (dus ook wanneer er sprake is van een niet-verenigbaar doel);
op basis van een Unierechtelijke of lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 lid 1 AVG bedoelde doelstellingen van algemeen belang (ook in geval van een niet-verenigbaar doel).
Toestemming wordt in de situatie werkgever-werknemer problematisch geacht, gelet op afhankelijkheidsrelatie tussen werkgever-werknemer. Daarom wordt in beginsel aangenomen dat toestemming in de werksfeer niet in vrijheid kan worden gegeven en dit dus geen geldige toestemming is in de zin van de AVG. Voorts is de onder 3. beschreven situatie in de onderhavige kwestie niet van toepassing.
Het is daarom met name relevant om naar de situatie onder 1. te kijken. Er dient te worden gekeken of er sprake is van een verenigbaar doel, waarbij getoetst dient te worden aan de criteria van artikel 6 lid 4 AVG. Of er sprake is van een nieuw doel dat verenigbaar is, dient er te worden gekeken naar een aantal elementen:
het verband tussen het nieuwe doel en het oorspronkelijke doel. Hoe deze doelen bij elkaar liggen, hoe eerder de verdere verwerking van persoonsgegevens verenigbaar is met het oorspronkelijke doel;
de context waarin de persoonsgegevens zijn verzameld. Hierbij is met name van belang de relatie tussen de verwerkingsverantwoordelijke en de betrokkene en de redelijke verwachtingen die de betrokkene heeft met betrekking tot het verdere gebruik van zijn persoonsgegevens;
de aard van de persoonsgegevens. Indien het bijvoorbeeld gaat om gevoelige persoonsgegevens, verdienen deze een hoger beschermingsniveau en mogen deze minder snel voor andere doelen worden gebruikt;
de mogelijke gevolgen van de verdere verwerking voor betrokkenen;
het bestaan van passende waarborgen. Wanneer persoonsgegevens zijn versleuteld of gepseudonimiseerd, mogen deze eerder voor andere doeleinden worden gebruikt dan wanneer er geen waarborgen zijn getroffen.
Als kan worden vastgesteld dat er sprake is van een verenigbaar doel, is voor de verdere verwerking geen afzonderlijke rechtsgrond vereist dan waarop de aanvankelijke verwerking van persoonsgegevens werd toegestaan. (5)
Allereerst is het in het onderhavige geval belangrijk welke doeleinden er zijn omschreven voor de verzameling van de betreffende persoonsgegevens. Het kan immers zo zijn dat de betreffende persoonsgegevens worden verzameld voor meerdere doeleinden, bijvoorbeeld voor zowel het controleren of werknemers op kantoor zijn geweest als in het kader van het terugvorderen van reiskosten. Het is dus van belang om te weten wat hierover is vastgelegd.
In het geval er maar één doel (het controleren of werknemers op kantoor zijn geweest) is omschreven waarvoor de persoonsgegevens mogen worden verzameld, dient er dus te worden gekeken of er sprake is van een verenigbaar doel voor de verdere verwerking. Dit zal onder meer afhangen van de omschrijving van het (aanvankelijke) doel waarvoor de persoonsgegevens worden verzameld.
Eind april heeft de Autoriteit Persoonsgegevens (“AP”) het OR-privacyboekje voor bescherming van privacy op de werkvloer uitgebracht. Hierin wordt door de AP aangegeven dat wanneer een werkgever besluit persoonsgegevens voor een ander doel te gebruiken, er is sprake is van een wijziging van de bestaande regeling. In dat geval moet de werkgever de nieuwe doelstelling toetsen aan de AVG en de wijziging voorleggen aan de OR. (6) De OR dient om instemming te worden gevraagd indien de werkgever voornemens is om een nieuwe regelingen te treffen voor de verwerking van persoonsgegevens of een personeelsvolgsysteem, maar ook als bestaande regelingen worden gewijzigd of ingetrokken. (7) Verder is het van belang dat er een Data Protection Impact Assessment (“DPIA” of gegevensbeschermingseffectbeoordeling) is uitgevoerd.
Het advies luidt dan ook om contact op te nemen met de OR of met de interne privacyfunctionaris over deze kwestie. Daarnaast is het mogelijk om een klacht in te dienen bij de AP.
(1) Artikel 5 lid 1 sub b AVG.
(2) Kamerstukken II 2017/18, 34851, 3. p. 37-38.
(3) Artikel 5 lid 1 sub b AVG.
(4) Artikel 6 lid 4 AVG.
(5) Overweging 50 AVG.
(6) Autoriteit Persoonsgegevens, Het OR-privacyboekje, 2021, p. 8.
(7) Autoriteit Persoonsgegevens, Het OR-privacyboekje, 2021, p. 8.
