Boete
Afgelopen juni, heeft een Franse dochteronderneming van Ikea namelijk door de Franse rechter een boete van één miljoen euro opgelegd gekregen. Daarbij moet de Franse dochteronderneming ongeveer één ton aan schadevergoedingen betalen. In aanvulling hierop hebben zowel de oud-topman van de Franse dochteronderneming als het voormalig hoofd risicomanagement voorwaardelijke celstraffen en boetes opgelegd gekregen. Hoe heeft dit zover kunnen komen?
Onrechtmatige spionage
De onrechtmatige situatie bij de Franse dochteronderneming van Ikea speelde vermoedelijk als sinds 2000, maar kwam in 2012 door Franse onderzoeksjournalistiek aan het licht. Toen kwam namelijk uit dat van sollicitanten, medewerkers en klanten onrechtmatig gegevens werden verzameld middels spionage. Deze spionage hield in, dat met behulp van een spionagesysteem probleemgevallen onder (toekomstig) personeel en lastige klanten werden opgespoord en dit vervolgens werd geregistreerd. Hiertoe werden o.a. gegevens over iemands financiële situatie (waaronder uitgaves aan luxe auto’s), lidmaatschap van een vakbond en strafblad verzameld met behulp van privédetectives (waarvoor een speciaal budget was gereserveerd) en politiebestanden. Na verzameling, werden deze gegevens in een aantal gevallen gebruikt tegen medewerkers (waaronder vakbondsleiders) en in geschillen met klanten, aldus de personeelsvertegenwoordigers.
Waarom mag dit niet?
Dat dit niet mag, is eigenlijk bijna evident. Immers mag je als werkgever niet stiekem vertrouwelijke en gevoelige informatie van je medewerkers vastleggen. Vanwege de machtsverhouding die een werkgever richting zijn werknemers heeft, gelden er namelijk strikte regels over wat een werkgever wel en niet mag verzamelen. Daarbij is het ook niet toegestaan om zomaar informatie tegen een medewerker te gebruiken, zonder dat deze dit vooraf had kunnen zien aankomen.
Wat mag dan wel?
Ook medewerkers hebben recht op privacy op de werkvloer. Het heimelijk controleren en bespioneren van medewerkers is in bijna geen enkel geval toegestaan. Uiteraard kunnen er goede redenen zijn om medewerkers te monitoren, denk aan trainingsdoeleinden of bij concrete vermoedens van fraude. Het is in dergelijke gevallen belangrijk dat medewerkers voorafgaand aan monitoring hierover worden geïnformeerd, waaronder over de voorwaarden wanneer en hoe dit eventueel kan plaatsvinden. Daarbij moet de tijd dat iemand actief wordt gemonitord worden beperkt, en moet zijn geborgd dat de monitoringsresultaten alleen worden ingezet voor vooraf vastgestelde doeleinden. Een organisatie kan een medewerker bijvoorbeeld niet opeens in een beoordelingsgesprek monitoringsresultaten tegenwerpen als reden voor het niet doorvoeren van een salarisverhoging, als enkel is verkondigd dat deze worden gebruikt voor trainingsdoeleinden.
In aanvulling hierop, moet een organisatie een goede afweging maken tussen de belangen van de organisatie en de privacybelangen van medewerkers, en deze documenteren. Het uitvoeren van een Data Protection Impact Assessment (DPIA, een voorafgaand schriftelijk privacyonderzoek) kan hieraan bijdragen. Het uitvoeren van een DPIA is verplicht als het gaat om stelselmatige monitoring of cameratoezicht. Daarbij moet een ondernemingsraad, wanneer deze is aangesteld, om instemming worden gevraagd voor alles wat als een potentieel personeelsvolgsysteem kan worden ingezet (waaronder dus veel monitoringsytemen).
Contact
Wilt u meer weten over de regels die gelden voor privacy van medewerkers of monitoring? Neem dan gerust contact op.
Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity