E.E.S.V. Securex Corporate
Maatschappelijke zetel: Tervurenlaan 43, 1040 Brussel
Ondernemingsnummer: BTW BE 0877.510.104 - RPR Brussel

Privacy

4. De geolokalisatie

Lees eerst even dit …

In België kenden we reeds een strenge privacybescherming waarmee werkgevers rekening moesten houden: het recht op eerbieding van het privéleven, erkend door artikel 8, 1° van het EVRM[1] en door artikel 22 van de Grondwet, moet gewaarborgd worden gedurende de ganse duur van de arbeidsovereenkomst en niet enkel op het moment van de aanwerving en het ontslag.

Op 4 mei 2016 is bovendien de Europese verordening 2016/679 (“General Data Protection Regulation”, hierna GDPR) verschenen[2]. Deze verordening is sinds 25 mei 2018 rechtstreeks van toepassing binnen heel Europa, en dus ook in België. Deze verordening is ook van toepassing op de arbeidsrelatie[3].

De context van de arbeidsrelaties is echter een specifieke context voor de toepassing van de bescherming van persoonsgegevens. Hier botsen immers twee principes op elkaar:

Hoewel de GDPR de regelgeving inzake de bescherming van persoonsgegevens wenst te harmoniseren in heel Europa, voorziet het juist omwille van bovenstaande reden in een uitzondering voor de context van de arbeidsrelaties. Lidstaten of collectieve arbeidsovereenkomsten mogen op sectoraal of ondernemingsniveau specifieke regels opleggen over de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhoudingen. Het gaat, meer bepaald, om de voorwaarden waarin de persoonsgegevens in het kader van de arbeidsverhoudingen verwerkt mogen worden met het oog op:

Voor meer duidelijkheid is het dossier opgesplitst in 9 delen:

Dit vierde deel behandelt de verplichtingen van de werkgever wanneer hij de beroepsmatige verplaatsingen van zijn werknemers met behulp van elektronische middelen, zoals GPS, GSM, WIFI, enz. wil controleren.

 


[1] Europees verdrag voor de rechten van de mens en de fundamentele vrijheden.

[2] Verordening van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens: http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32 016R0679&from=EN

[3] Aangezien de werkgever én de Belgische wetgever vanaf 25 mei 2018 de GDPR moeten naleven, zal de Belgische regelgeving vervangen worden door een kaderwet.

Is geolokalisatie wettelijk toegestaan?

Dankzij de nieuwe technologieën kunnen werkgevers vandaag de dag de voertuigen van hun werknemers steeds lokaliseren. Maar het is niet om dat de technologie iets mogelijk maakt, dat dit ook in overeenstemming is met de juridische regelgeving ter zake.

Tot hiertoe bestaat er geen enkele wetgeving die de kwestie van de toelaatbaarheid van de zogenoemde “geolokalisatiesystemen” expliciet regelt. Niettemin werd hierover een wetsvoorstel ingediend bij de Senaat en heeft de Gegevensbeschermingsautoriteit een advies, (Advies nr. 12/2005 van 7 september 2005) op dat vlak uitgebracht[1]. Tot slot werden in diverse sectoren initiatieven genomen in een poging de materie sectoraal te reguleren[2].

Hoewel de geolokalisatie van werknemers door de werkgever niet specifiek gereglementeerd is, moet de werkgever wel de wet van 8 december 1992 tot Bescherming van de Persoonlijke Levenssfeer naleven. Ook artikel 8 van het EVRM en artikel 22 van de Grondwet moeten worden nageleefd. Tenslotte, moet ook de Algemene Verordening inzake gegevensbescherming (hierna de GDPR) nageleefd worden.

Het voornoemde advies van de Gegevensbeschermingsautoriteit (hierna GBA) neemt een hele reeks principes van de privacywet over die men moet naleven als men een geolokalisatiesysteem wil installeren. We zullen ze hierna verder toelichten en er de GDPR-principes aan toevoegen.

 


[1] De adviezen van de Gegevensbeschermingsautoriteit, de vroegere Commissie voor de bescherming van de persoonlijke levenssfeer kunt u raadplegen op de site van de Gegevensbeschermingsautoriteit.

[2] Het paritair subcomité voor de handel en het paritair comité voor de bouwsector hebben in het kader van het nationaal akkoord 2011-2012 werkgroepen opgericht die moeten proberen om collectieve arbeidsovereenkomsten over geolokalisatie op te stellen.

Welke principes moeten nageleefd worden?

Opstelling van een geopolicy

Wettelijke rechtsgrond

Om aan het wettelijkheidsbeginsel te voldoen, is een eerste vereiste dat men de principes en regels voor een dergelijke controle in een specifiek reglement vermeldt. Deze vermelding moet voldoende precies, duidelijk, toegankelijk en voorspelbaar zijn. Die regels moeten dan overlegd worden met de werknemers. De overlegorganen moeten geïnformeerd worden over de beoogde maatregelen[1]. En indien de onderneming meer dan 50 werknemers telt en het systeem “belangrijke collectieve gevolgen”[2] heeft voor de arbeidsvoorwaarden, moet het advies van de overlegorganen ingewonnen worden.  Tot slot wordt de geopolicy best aan het arbeidsreglement of aan de car policy toegevoegd.

De geopolicy zal meer bepaald de doeleinden en de frequentie van de controle nader moeten omschrijven.  De loutere vermelding in het arbeidsreglement dat er een GPS-trackingsysteem bestaat zonder verdere details over de regels voor die controle te verstrekken, zal door de rechtspraak doorgaans niet aanvaard worden als een voldoende naleving van de informatieplicht voorzien in artikel 9 van de wet op de bescherming van de persoonlijke levenssfeer[3].

De controle moet een geoorloofd doel hebben

Het volstaat niet om een geopolicy op te stellen. Het doel van de uitoefening van de controle door geolokalisatie moet een inmenging in het privéleven van de werknemer rechtvaardigen. 

Zo heeft de GBA aangehaald:

  • de veiligheid van de werknemer;
  • de bescherming van het dienstvoertuig;
  • de optimalisering van het beheer van de beroepsmatige verplaatsingen (verkopers, technici, taxichauffeurs);
  • de controle op de prestaties van de werknemer. In dat geval zou het enkel om een gerichte controle mogen gaan wanneer er aanwijzingen bestaan die misbruik vanwege de werknemer doen vermoeden. In dit opzicht is controle buiten de werkuren uitgesloten.

De controle moet evenredig zijn

Ook al is het beoogde doel van de controle gerechtvaardigd, toch moet de inmenging in de persoonlijke levenssfeer van de werknemer relevant zijn en tot een minimum beperkt worden.

Volgens het advies van GBA is een permanente en systematische controle principieel onevenredig (tenzij het gaat om het beheren van de beroepsverplaatsingen van de werknemers: in dat geval kan worden overwogen om de hele werkdag controles uit te voeren, zonder dat de controle continu mag zijn[4]).

Om aan dit criterium van evenredigheid te voldoen, moet de controle ook tijdens de werkuren uitgeoefend worden en moet de werknemer het controlemiddel (bijvoorbeeld op het einde van zijn werkdag) kunnen in- of uitschakelen.

Een evenredige controle houdt in dat indien het nagestreefde resultaat bereikt kan worden met andere middelen die geen schending inhouden van de persoonlijke levenssfeer van de werknemers, die middelen voorrang moeten krijgen. Indien de werkgever misbruik vermoedt, kan hij bijvoorbeeld een gedetailleerd verslag vragen aan de werknemer of de klanten vragen of de werknemer al dan niet in hun onderneming langsgekomen is.

Dit type van controle houdt ook in dat de ingezamelde gegevens niet langer dan nodig bewaard mogen worden.

De controle moet transparant zijn

Moet men het individuele akkoord van de betrokken werknemers verkrijgen?

Volgens artikel 5 van de wet van 8 december 1992 mogen persoonsgegevens slechts verwerkt worden, onder meer, wanneer de betrokkene daarvoor zijn toestemming verleend heeft of wanneer die verwerking noodzakelijk is voor de uitvoering van de overeenkomst waarbij de betrokkene partij is.

Als men dit doortrekt naar de arbeidsrelatie betekent dit dat als het geolokalisatieysteem dat de werkgever ingevoerd heeft noodzakelijk is voor de activiteit van de onderneming (denken we bijvoorbeeld aan een geldtransportbedrijf of een taxibedrijf) het akkoord van de werknemer niet nodig zal zijn. Maar in alle andere gevallen (bijvoorbeeld voor de rondreizende werknemers) zal men het akkoord van de werknemer met de installatie van het geolokalisatiesysteem nodig hebben.  Dat akkoord zal bovendien schriftelijk verkregen moeten worden via de geopolicy of een bijlage bij de arbeidsovereenkomst. Deze toestemming is nog strikter geworden door de GDPR, aangezien deze geïnformeerd, ondubbelzinnig, vrij, specifiek en persoonlijk moet zijn. De werknemer moet een actieve handeling stellen zoals het aanvinken van een vakje of het ondertekenen van een clausule. De werknemer kan bovendien op ieder ogenblik zijn toestemming hiervoor intrekken.

Volgende informatie moet de werkgever voorafgaandelijk meedelen:

  • wettelijke rechtsgrond van het verwerken van gegevens. Dit zal bij geolokalisatie hoogstwaarschijnlijk het gerechtvaardigd belang van de onderneming of derden zijn*;
  • wie onderworpen is aan de controle;
  • in welke mate er controle is;
  • de doeleinden van de controle;
  • de aard van misbruiken die aanleiding kunnen geven tot controle;
  • de duur van de controles;
  • welke gegevens verwerkt worden*;
  • of de gegevens buiten de EU gestuurd worden*;
  • wat de rechten zijn van de werknemer: o.a. het recht op inzage, het recht om een klacht in te dienen bij de Gegevensbeschermingsautoriteit, het recht om de verwerking van persoonsgegevens te beperken,…*
  • de procedure die zal worden gevolgd na controle.

*Dit is informatie dat door de GDPR is toegevoegd.

 


[1] Artikel 10 van de CAO nr. 9. Bij gebreke van ondernemingsraad moet de informatie verstrekt worden aan het Comité voor preventie en bescherming op het werk of, bij gebreke daarvan, aan de vakbondsafvaardiging of, bij gebreke daarvan, aan de werknemers.

[2] Voor de notie van “belangrijke collectieve gevolgen”, zie artikel 2 van de CAO nr. 39.

[3] Zie verder onder de vraag “Wat is het standpunt van de hoven en rechtbanken?”

[4] De optimale oplossing zou erin kunnen bestaan dat de werknemer naargelang van de behoeften van zijn lokalisatie het systeem gericht kan in- en uitschakelen (bijvoorbeeld, bij aankomst en vertrek op elke plaats waar hij naar toe moet). Het systeem zou in ieder geval uitgeschakeld moeten kunnen worden wanneer het voertuig buiten de werkuren gebruikt wordt.

Wat is het standpunt van de hoven en rechtbanken?

In het geval van taxichauffeurs die tijdens de werkuren een zware verkeersovertreding gepleegd hadden, die via de GPS van de wagen vastgesteld werd, heeft het Arbeidshof van Brussel tot twee maal toe het door de GPS verstrekte bewijs aanvaard om te oordelen dat er wel degelijk een voldoende reden bestond om de ontslagprocedure wegens dringende reden op te starten[1].

In een arrest van 14 november 2011[2] heeft het Arbeidshof van Gent dan weer gevonnist dat de installatie en het gebruik van een geolokalisatiesysteem in de wagen van een werknemer door de werkgever onwettig was. In casu had de werkgever in zijn arbeidsreglement enkel vermeld dat alle voertuigen van de werknemers uitgerust waren met een GPS-trackingsysteem. Het Hof heeft geoordeeld dat deze loutere vermelding kennelijk niet volstond om aan de vereisten van rechtmatigheid (artikel 4 van de privacywet) en informatie van de betrokken persoon (artikel 9 van de privacywet) te voldoen.  Het Hof heeft derhalve besloten dat de werkgever een contractuele tekortkoming ten aanzien van zijn werknemer gepleegd had en daardoor een vergoeding aan die werknemer verschuldigd kon zijn indien deze laatste schade geleden had.

In een arrest van 2 maart 2016 stelde hetzelfde arbeidshof dat geen enkele wettelijke bepaling de werkgever (en een door hem betaalde aangestelde, inzonderheid een privédetective) toelaat om zonder instemming van de werknemer, laat staan zonder diens medeweten, een geolokalisatiesysteem in diens eigen wagen aan te brengen.

 


[1] Arbeidshof van Brussel, 20 december 2001 en Arbeidshof van Brussel, 18 november 2004.

[2] Arbeidshof van Gent, 14 november 2011.

Verplichting tot gegevensbeschermingseffectbeoordeling (DPIA) bij invoeren geolokalisatie

Meer informatie hierover vindt u in onze fiche 1 betreffende de verwerking van persoonsgegevens in het kader van personeelsbeheer, en meer bepaald onder de vraag Wanneer moet de werkgever een Gegevensbeschermingseffectbeoordeling uitvoeren?, de site van de Gegevensbeschermingsautoriteit of de aanbeveling van de Gegevensbeschermingsautoriteit hierover.

Het is aangeraden om een Gegevensbeschermingseffectbeoordeling (‘Data Protection Impact Assessment, hierna DPIA) uit te voeren, aangezien twee van de negen criteria van de Working Group 29 vervuld worden bij het invoeren van geolokalisatie:

  • gegevens met betrekking tot kwetsbare betrokkenen, namelijk werknemers; en
  • innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen.

Bovendien stelt de Gegevensbeschermingsautoriteit dat er een DPIA uitgevoerd moet worden “wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst;”.

Een werkgever zal een dergelijke DPIA uitvoeren en beslissen welke passende en technische maatregelen genomen moeten worden. Een dergelijke DPIA is een verantwoordingsdocument naar de Gegevensbeschermingsautoriteit om te bewijzen dat er een risicoanalyse is doorgevoerd.

Het is slechts bij het vaststellen dat zelfs bij het nemen van dergelijke maatregelen er nog steeds een hoog risico voor de betrokkene aanwezig is dat een voorafgaandelijke raadpleging bij de Gegevensbeschermingsautoriteit verplicht is.

Wat men niet uit het oog mag verliezen?

Opnemen van de verwerking “geolokalisatie” in het dataregister

De werkgever mag niet vergeten om de verwerking op te nemen in het dataregister. Deze verplichting vervangt de vroegere verklaring bij de Commissie voor de bescherming van de persoonlijke levenssfeer, de voorloper van de Gegevensbeschermingsautoriteit.

Voor meer informatie hierover verwijzen we naar onze fiche 1 betreffende de verwerking van persoonsgegevens in het kader van personeelsbeheer, in het bijzonder naar de vraagHeeft de werkgever de plicht om een register van verwerkingsactiviteiten of dataregister bij te houden voor de verwerking van persoonsgegevens? of de site van de Gegevensbeschermingsautoriteit.

Vertrouwelijkheid en toegangsrecht

De werkgever moet ook waken over de vertrouwelijkheid van de behandelde informatie en de betrokken werknemer toegang verlenen tot de gegevens die hem aanbelangen.

Indien u uw mogelijkheden op dit vlak wil nagaan en eventueel een geopolicy wilt invoeren, neem dan contact op met uw Legal Advisor. Hij kan u ook helpen als u een car policy wilt opstellen of de reeds bestaande policy wilt aanpassen.

Wat zijn de belangrijkste wettelijke referenties?

  • Verordening 2016/679 van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
  • Wet van 8 december 1992 (“de Privacywet”).