Wat is een persoonsgegeven?
Direct of indirect identificeren van een persoon
Wordt onder "persoonsgegevens" verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.
Als voorbeeld binnen de arbeidsrelatie kunnen we de volgende gegevens vermelden: naam, voornaam, personeelsnummer, adres, loon, rekeningnummer, sociale status, e-mailadres, rijksregisternummer, een foto, een vingerafdruk, een persoonlijk of professioneel telefoonnummer, …
Gevoelige persoonsgegevens
Het is in principe verboden om gevoelige persoonsgegevens te verwerken. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, alsook de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele geaardheid.
Deze gegevens mogen echter wel verwerkt worden als:
- De betrokkene zijn uitdrukkelijke toestemming hiervoor geeft (tenzij dat onmogelijk is volgens het toepasselijke nationale recht). De toestemming van de werknemer heeft binnen een arbeidsrelatie sowieso een precaire positie omwille van de gezagsverhouding tussen werkgever en werknemer
- De verwerking noodzakelijk is op het gebied van het arbeidsrecht en het socialezekerheidsrecht
- De verwerking betrekking heeft op persoonsgegevens die door de betrokkene openbaar zijn gemaakt
- De verwerking noodzakelijk is voor een rechtsvordering
- De verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, voor zover deze gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die aan het beroepsgeheim is gebonden
Zo moet de werkgever op de hoogte zijn van het feit dat één van zijn werknemers een vakbondsafgevaardigde is om rekening te houden met de ontslagbescherming die deze geniet.
Conclusie: In het kader van de arbeidsrelatie is het dus soms toegelaten om dergelijke gegevens te verwerken, maar dan wel met de nodige voorzichtigheid.
Verschillende verwerkingen binnen de arbeidsrelatie
Een werkgever verricht voornamelijk volgende concrete verwerkingen van zijn werknemers: 1) administratie van personeel en lonen, 2) personeelsbeheer en werkplanning en 3) controle op de werkplaats.
In de meeste ondernemingen zijn die verwerkingen een geïntegreerd geheel. Het informaticapakket en de personeelsdossiers bevatten persoonsgegevens die zowel de loon- als de personeelsadministratie aanbelangen. Ze hoeven ook niet gescheiden te worden in de praktijk, maar krijgen wel een aparte vermelding in het dataregister.
Persoonsgegevens in het kader van de administratie van personeel en lonen
Het gaat over de persoonsgegevens die voorgeschreven zijn door de wetten, reglementen en onderrichtingen op regionaal, federaal en internationaal vlak inzake het arbeidsrecht, de sociale zekerheid, de fiscale wetgeving, met inbegrip van collectieve en individuele arbeidsovereenkomsten en arbeidsreglementen.
Het betreft de administratie van de lonen, vergoedingen en commissies.
Het kan bijvoorbeeld gaan om gegevens die nuttig zijn voor het bepalen van het loon, of relevante gegevens voor de toepassing van de sociale en fiscale wetgeving (bv. de gezinssituatie).
De werkgever is in dit geval de verwerkingsverantwoordelijke. Securex wordt als sociaal secretariaat als voornaamste verwerker van de loonadministratie beschouwd.
Persoonsgegevens in het kader van personeelsbeheer en werkplanning
Het gaat om de persoonsgegevens die binnen de onderneming verwerkt worden en die niet rechtstreeks uit wettelijke, reglementaire of conventionele bepalingen inzake tewerkstelling voortvloeien en dus niet in de verwerking “loonadministratie” ondergebracht mogen worden.
Het betreft in het bijzonder gegevens omtrent selectie, aanwerving, opleiding, vorming, sociale voordelen, arbeidsorganisatie, loopbaanplanning, beoordelingen en evaluaties, enz.
De gegevens die in de onderneming op het niveau van uw personeelsadministratie geregistreerd worden, worden niet door Securex verwerkt aangezien zij normaal buiten de opdrachten van een sociaal secretariaat vallen. Securex is dus geen verwerker van de personeelsadministratie. De werkgever is hier wel nog steeds de verwerkingsverantwoordelijke.
Persoonsgegevens in het kader van controle op de werkplaats
Het gaat om de persoonsgegevens die verwerkt werden in het kader van de controle van de professionele activiteit op de werkplaats via camera of informaticasystemen zoals controle van e-mails, internetgebruik, telefoon,…