Oud-werknemers en het zogenaamd ‘recht op vergetelheid’: binnen welke termijn moeten foto’s en namen van de website van de werkgever verwijderd worden?
21 juli 2021
Bespreking van de uitspraak van de Gegevensbeschermingsautoriteit GBA 62/2021 van 26 mei 2021
Op 26 mei 2021 werd door de Gegevensbeschermingsautoriteit een klacht behandeld in verband met het verwerken van persoonsgegevens van een werknemer op de website van de werkgever bij wie deze niet langer werkt. De werknemer werkte op het ogenblik van de indiening van de klacht reeds meer dan twee maanden niet meer bij de werkgever. Uiteindelijk werden pas acht maanden na zijn vertrek diens gegevens verwijderd op de website en de sociale netwerkpagina’s van de werkgever. De Geschillenkamer besliste om de werkgever een waarschuwing te geven wegens laattijdige verwijdering van deze persoonsgegevens en het gebrek aan een procedure tot opvolging van verzoeken. Ook schepte de Gegevensbeschermingsautoriteit in deze korte beslissing klaarheid over de termijnen en procedures die door werkgevers (en dus ook de lokale besturen wanneer zij als werkgevers optreden) in acht moeten worden genomen teneinde de persoonsgegevens van de oud-werknemer te beschermen.
(i) Gegevens van de ex-werknemer ≠ ‘doelbinding’
Op 15 december 2020 werd een klacht ingediend bij de eerstelijnsdienst van de Gegevensbeschermingsautoriteit. Hierbij werd door een ex-werknemer aan zijn voormalige werkgever verzocht om zowel zijn naam als zijn foto die zichtbaar waren op de website en op de sociale netwerkpagina’s van de werkgever te wissen.
Vooreerst wordt door de Gegevensbeschermingsautoriteit vastgesteld dat gegevens, zoals de naam, de voornaam, de functie en de foto van werknemers, als persoonsgegevens in de zin van artikel 4.1 AVG kunnen worden beschouwd. Als logisch gevolg wordt de publicatie ervan op een website of sociale netwerkpagina’s geacht een verwerking in de zin van artikel 4.2 AVG te zijn.
Bij het verwerken van de persoonsgegevens moet de werkgever dus rekening houden met de beginselen inzake verwerking van persoonsgegevens - ook in geval de werknemer niet langer bij deze werkgever werkt.
Zo wordt vastgesteld dat de verwerking van de naam en foto van een oud-werknemer de toets aan de zogenaamde ‘doelbinding’ in de zin van artikel 5.1.b) AVG niet doorstaat. Persoonsgegevens mogen enkel worden bewaard voor zover zulks in het licht van het doel van de verwerking gerechtvaardigd zou zijn.
In casu wordt door de Gegevensbeschermingsautoriteit vastgesteld dat, aangezien de werknemer niet langer voor de werkgever werkt, het doel van de verwerking, dat inhoudt de internetgebruikers te informeren over wie bij hem werkt en in welke hoedanigheid, wegvalt.
(ii) Binnen welke termijn moeten de persoonsgegevens worden verwijderd?
Indien het doel niet meer voorhanden is, voorziet artikel 17.1.a) AVG in een zogenaamd ‘recht op vergetelheid’. De persoonsgegevens zullen, indien dit niet spontaan op het einde van de tewerkstelling gedaan wordt, zonder onredelijke vertraging moeten worden verwijderd. Volgens de Geschillenkamer dient hierbij rekening te worden gehouden met onder meer de grootte van de onderneming, evenals met het feit of deze zelf optreedt als verwerkingsverantwoordelijke dan wel een aparte websitebeheerder hiervoor heeft ingericht. Ook de aard van de functie en de context van het vertrek van het betrokken personeelslid kunnen een meer of minder snelle wissing rechtvaardigen.
De verwijdering kan zowel op eigen initiatief als naar aanleiding van een verzoek worden gewist. Indien één en ander niet op eigen initiatief gebeurt en hieromtrent een verzoek wordt ingediend, moet de werkgever overeenkomstig artikel 12.3 AVG de verzoeker onverwijld, en in ieder geval binnen een maand na ontvangst van het verzoek, informatie verstrekken over het gevolg dat aan het verzoek werd gegeven. Deze termijn kan verlengd worden afhankelijk van de complexiteit van het verzoek en het aantal verzoeken van de betrokkene aan verwerkingsverantwoordelijke.
Een verdere invulling van de bewoordingen “onredelijke vertraging” en “onverwijld” wordt door de Gegevensbeschermingsautoriteit echter niet gegeven.
In voorliggende casus werden de persoonsgegevens noch op eigen initiatief noch na verzoek van de werknemer verwijderd. Tevens bleek evenmin een procedure voorhanden om dit soort situaties of verzoeken te beheren. De gegevens van de ex-werknemer werden uiteindelijk pas acht maanden na de beëindiging van diens tewerkstelling verwijderd. Wetende dat de klacht reeds twee maanden na het vertrek van de werknemer ingediend werd, werd dit door de Gegevensbeschermingsautoriteit als “buitensporig” bestempeld. De verwerkingsverantwoordelijke had immers binnen een termijn van één maand gevolg moeten geven aan het verzoek alsook de foto’s, naam en voornaam van de werknemer moeten wissen zonder onredelijke vertraging.
Desondanks werd hieraan door de Gegevensbeschermingsautoriteit slechts een waarschuwing gekoppeld ten aanzien van de werkgever.
Kanttekening bij de voorliggende beslissing van de Gegevensbeschermingsautoriteit is wel dat deze uitspraak louter een “prima facie” beslissing is, dewelke is genomen op basis van de door de klager ingediende klacht en de overgelegde bewijsstukken, in het kader van de "procedure voorafgaand aan de beslissing ten gronde". De beslissing lijkt dus eerder informerend dan sanctionerend van aard. De waarschuwing strekt ertoe de verwerkingsverantwoordelijke te informeren opdat de persoonsgegevens van een oud-werknemer in de toekomst conform de AVG zouden worden beschermd. Slechts in het kader van een procedure ten gronde kunnen effectieve sancties opgelegd worden. Wel wordt er in deze door de Geschillenkamer op gewezen dat de verwerkingsverantwoordelijke weldegelijk een risico loopt de AVG te schenden en een sanctie op te lopen indien de werkgever zich een tweede keer schuldig maakt.
(iii) Tijdig verwijderen van gegevens van ex-werknemers: ook een aandachtspunt voor de lokale besturen
Het is niet ongewoon dat lokale besturen foto’s en namen van personeelsleden op hun website publiceren. Hierbij treden lokale besturen op als verwerkingsverantwoordelijke die een conforme toepassing van de AVG moeten garanderen voor elk “geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen” ( Art. 2.1 AVG). Daarenboven wordt overeenkomstig artikel 37.1.a) AVG het aanwijzen van een functionaris voor gegevensbescherming (beter bekend als een “DPO”) aan elke overheidsinstantie en- orgaan verplicht.
In navolging van bovenvermelde uitspraak valt het lokale besturen alleszins aan te raden om te voorzien in:
- Een procedure voor het onverwijld wissen van gegevens van werknemers die het lokaal bestuur hebben verlaten;
- Een procedure om verzoeken tot verwijdering van persoonsgegevens binnen de termijnen zoals bepaald in de artikelen 12.3. en 17.1.a) AVG, of, minstens, een effectieve opvolging van de verzoeken te garanderen, rekening houdend met de vooropgestelde termijnen.
Een gewaarschuwd lokaal bestuur is er twee waard…