Als gevolg van de uitbraak van COVID-19 nemen bedrijven uiteenlopende preventiemaatregelen om de verspreiding van het virus tegen te gaan. Dit gaat van vragenlijsten (over recente bestemmingen, medische symptomen,…) tot het meten van de lichaamstemperatuur (met een thermometer of zelfs met warmtebeeldcamera’s) en het afnemen van immuniteitstests. In het kader van deze maatregelen worden in de meeste gevallen persoonsgegevens van werknemers en bezoekers verwerkt. Hoe ver mag een onderneming hierin gaan?
Verwerking van gevoelige gegevens
Medische testen maken op zich geen verwerking van persoonsgegevens uit. Van zodra men echter informatie verzamelt, opslaat, doorgeeft, consulteert, … worden persoonsgegevens verwerkt wat met zich brengt dat de gegevensbeschermingswetgeving waaronder de GDPR moet worden nageleefd.
Van zodra gegevens verwerkt worden die de gezondheid van de persoon betreffen, is extra voorzichtigheid geboden. Gezondheidsgegevens zijn immers gevoelige gegevens en genieten een bijzondere bescherming onder de GDPR.
Het Europese Gegevensbeschermingscomité benadrukte in zijn recente richtlijnen 03/2020 dat gezondheidsgegevens een ruim begrip uitmaken. Zowel de resultaten van een medische test of behandeling als de informatie die behandeld wordt in een bevraging (bv. naar symptomen), vallen onder de noemer van gezondheidsgegevens.
Rechtsgrond?
De GDPR bepaalt dat iedere verwerking van persoonsgegevens een rechtsgrond vereist (bv. een wettelijke verplichting of de gerechtvaardigde belangen van de onderneming). Als ook gevoelige gegevens worden verwerkt, zal de onderneming zich bovendien moeten beroepen op een specifieke uitzondering gezien dergelijke verwerking in beginsel verboden is.
Het kan o.i. worden geargumenteerd dat een onderneming een geldige rechtsgrond kan inroepen om informatie in te zamelen via bv. vragenlijsten over recente bestemmingen of symptomen. Zo zou een onderneming bijvoorbeeld kunnen stellen dat zij op basis van de welzijnswetgeving de verplichting heeft om de risico's ingevolge het coronavirus te analyseren om adequate maatregelen te kunnen nemen om de gezondheid, de veiligheid en het welzijn van haar werknemers te verzekeren of zich kan beroepen op haar gerechtvaardigd belang namelijk het belang om (de gezondheid van) van haar werknemers en klanten en zijn economische belangen (voorkomen dat alle werknemers tegelijk ziek vallen) te beschermen.
Om gezondheidsgegevens te verwerken, moet echter niet alleen een beroep worden gedaan op een algemene rechtsgrond, maar moet ook een uitzondering voorhanden zijn die dergelijke verwerking toelaat. In het kader van de bevraging omtrent medische gegevens, of het invoeren van medische tests die gepaard gaan met de verwerking van gezondheidsgegevens, kunnen de navolgende uitzonderingen relevant zijn:
1. De uitdrukkelijke toestemming van de betrokkene
De GDPR vereist dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is. Dit houdt onder meer in dat er geen machtsonevenwicht bestaat tussen de verantwoordelijke en de betrokken persoon. Om die reden is toestemming geen solide uitzondering in het kader van een arbeidsrelatie. Indien toestemming kan gegeven worden, is deze bovendien ten allen tijde intrekbaar.
2. De noodzakelijkheid met het oog op de naleving van en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheidsrecht of voor doeleinden van preventieve of arbeidsgeneeskunde
In het kader van de welzijnwetgeving en de "duty of care" is de werkgever verplicht om preventieve maatregelen te nemen, na risico-analyse en overleg met de interne en externe preventiediensten en het bevoegde overlegorgaan (CBPW/vakbondsafvaardiging zoniet werknemers zelf). Het lijkt niet uitgesloten dat in sommige organisaties, voor bepaalde functies dergelijke testen verantwoord kunnen zijn. Er moet daarbij terdege rekening worden gehouden met de beperkingen van de welzijnswetgeving (toezicht gebeurt door of onder toezicht van arbeidsgeneesheer en is voorbehouden voor functies met verhoogd risico).
3. Noodzakelijkheid om redenen van zwaarwegend algemeen belang indien dit voorzien wordt in het Unierecht of het lidstatelijk recht. Vooralsnog voorziet het Belgisch recht niet in dergelijke afwijkingen voor ondernemingen.
Standpunt Europees Comité voor gegevensbescherming
In een algemene verklaring van 16 maart 2020 (zoals verder aangevuld op 19 maart 2020) heeft het Europees Comité voor gegevensbescherming aangegeven dat de GDPR de bestrijding van COVID-19 niet in de weg staat, ook door werkgevers, maar dat er ook in deze tijden moet over worden gewaakt dat de wetgeving inzake gegevensbescherming gerespecteerd wordt. Voor verwerkingen van persoonsgegevens door werkgevers verwijst het Comité echter hoofdzakelijk naar de toepasselijkheid van het nationaal recht.
Standpunt Gegevensbeschermingsautoriteit
De Gegevensbeschermingsautoriteit (GBA) heeft op haar website een eerder strikt standpunt gepubliceerd omtrent de verwerking van persoonsgegevens in het kader van de arbeidsrelatie, waarin zij onder meer aangeeft dat:
- werkgevers hun werknemers niet kunnen verplichten tot het invullen van medische vragenlijsten of vragenlijsten over recente reizen. Het is volgens de GBA aangewezen werknemers aan te zetten tot het spontaan melden van risicovolle reizen of symptomen;
- een werkgever in het kader van de voorkoming van de verdere verspreiding van het COVID-19 virus de namen van besmette personen / werknemers niet mag bekendmaken. De werkgever mag de werknemers enkel informeren over een besmetting zonder vermelding van de identiteit van de betrokkene(n);
- de loutere opname van de lichaamstemperatuur op zich geen verwerking van persoonsgegevens is (en de GDPR bijgevolg niet van toepassing is) voor zover deze opname niet gepaard gaat met een bijkomende registratie of verwerking van persoonsgegevens. De GBA wijst er wel op dat de werkgever geen maatregelen kan nemen die het arbeidsrechtelijk regelgevend kader te buiten gaan.
Actiepunt
Indien u persoonsgegevens wil verwerken met het oog op de bestrijding van de risico's in het kader van COVID-19, analyseer dan zorgvuldig de risico's en beperkingen in het kader van de welzijnswetgeving maar ook het gegevensbeschermingsrecht.
Indien een verwerking toelaatbaar is, moeten de GDPR principes bovendien nauwgezet worden nageleefd, waaronder :
- Minimale gegevensverwerking (verwerk alleen wat strikt noodzakelijk is);
- Opslagbeperking (bewaar de gegevens maar zolang als noodzakelijk);
- Naleven van de transparantieplicht;
- Beveiliging van de gegevens en beperking van de toegang tot een beperkte lijst van personen met een confidentialiteitsverplichting