COVID-19: Preventiemaatregelen en de verwerking van persoonsgegevens van werknemers

Ondernemingen in de cruciale sectoren en de essentiële diensten – bijvoorbeeld de energiesector of de chemische industrie – of andere ondernemingen waar voor bepaalde functies telethuiswerk niet kan worden toegepast, moeten de regels van social distancing garanderen. Maar is dat alles wat een onderneming mag doen? Hoe moet een onderneming (andere) preventieve maatregelen aanpakken met naleving van de voorwaarden voor de verwerking van gevoelige persoonsgegevens zoals gezondheidsgegevens?

De veiligheid en de gezondheid van de werknemer

Een werkgever heeft de plicht om ervoor te zorgen dat werknemers kunnen werken in behoorlijke omstandigheden met betrekking tot hun veiligheid en gezondheid (Arbeidsovereenkomstenwet, art. 20, 2°). Een werkgever kan heel wat preventiemaatregelen nemen. Wanneer die preventiemaatregelen maken dat de werkgever persoonsgegevens verwerkt, met name de gezondheidsgegevens van werknemers, moet ook de Algemene Verordening Gegevensbescherming (GDPR)  worden nageleefd.

Basisregels

De GDPR is van toepassing bij de verwerking van de persoonsgegevens van werknemers en andere natuurlijke personen, bijvoorbeeld bezoekers. Die bescherming geldt niet alleen voor geautomatiseerde processen. De GDPR definieert verwerking namelijk op een erg ruime manier. Verwerken is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via elektronische of geautomatiseerde procedés. Ook het handmatig verwerken en opslaan in een fysiek dossier valt onder het toepassingsgebied van de GDPR.

Een werkgever moet altijd over een juridische basis beschikken om persoonsgegevens te verwerken. Voor gezondheidsgegevens zijn de regels strenger omdat het gevoelige persoonsgegevens zijn. Die verwerking is in principe verboden, maar wel mogelijk indien de verwerking noodzakelijk is:

  • om redenen van algemeen belang op het gebied van de volksgezondheid;
  • met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht;
  • ter bescherming van de vitale belangen van de betrokkene of van een andere;
  • om redenen van zwaarwegend algemeen belang;
  • voor doeleinden van preventieve of arbeidsgeneeskunde; of
  • voor de beoordeling van de arbeidsgeschiktheid van de werknemer.

De arbeidsgeneesheer speelt hier een belangrijke rol. Het is namelijk de arbeidsgeneesheer die instaat voor de beoordeling van de risico’s voor de gezondheid. Niet de werkgever, maar de arbeidsgeneesheer is bevoegd voor de opsporing van besmettingen en voor het informeren van de werkgever en de personen die in contact kwamen met de besmette persoon.

Ook bij het verwerken van persoonsgegevens voor de preventie van Covid-19 moet de verwerking van persoonsgegevens proportioneel zijn en zo beperkt mogelijk zijn. Enkel de minimaal noodzakelijke hoeveelheid gegevens mogen worden verwerkt om het vooropgestelde doel te bereiken. Werkgevers moeten ook transparant zijn en werknemers en bezoekers afdoende informeren over het waarom van de verwerking en de bewaringstermijn van de gegevens.

Concrete situaties

De Belgische Gegevensbeschermingsautoriteit (GBA) spreekt zich uit over een aantal concrete situaties.

Mag een bedrijf of werkgever algemene en systematische controles van de lichaamstemperatuur van werknemers en/of bezoekers uitoefenen?

De GBA beschouwt de loutere opname van de lichaamstemperatuur niet als een verwerking van persoonsgegevens. De GDPR wordt wel van toepassing wanneer de temperatuuropname gepaard gaat met een bijkomende registratie of verwerking van persoonsgegevens.

Mag een werkgever zijn werknemers verplichten een medische vragenlijst of vragenlijst betreffende zijn recente reizen in te vullen?

De GBA is van oordeel dat een werkgever zijn werknemers niet kan verplichten tot het invullen van dergelijke vragenlijsten. Het is aangewezen werknemers aan te zetten tot het spontaan melden van risicovolle reizen of symptomen. De GBA benadrukt hier de rol van de arbeidsgeneesheer.

Mag een werkgever in het kader van de voorkoming van de verdere verspreiding van het virus de namen van besmette werknemers bekendmaken?

De GBA stelt dat een werkgever de namen van betrokken personen niet zomaar binnen het bedrijf mag bekendmaken. Wel mag de werkgever andere werknemers op de hoogte brengen van een besmetting om verdere verspreiding tegen te gaan. De identiteit van de besmette werknemers mag de werkgever niet openbaar maken. De naam van de besmette persoon mag dan weer wel gecommuniceerd worden aan de arbeidsgeneesheer of de bevoegde overheidsdiensten.
 

Bron:

De algemene verordening gegevensbescherming (GDPR) (SocialEye, praktische module)

Recht op privacy (SocialEye, juridische module)

Gepubliceerd op 13-04-2020

partena_professional
Partena Professional
  226