Veel organisaties plaatsen namen en pasfoto’s van medewerkers op de website van de organisatie. Soms beperkt zich dit tot de leden van de raad van bestuur, maar bij kleinere organisaties wordt ook wel het hele team, met naam en toenaam, functie en soms zelfs e-mailadres gepubliceerd. Bij het opstellen van het verwerkingsregister lopen organisaties tegen de vraag aan of dit wel mag en op welke grondslag dit plaatsvindt. In dit artikel worden deze overwegingen op een rijtje gezet.

Gerechtvaardigd belang?

Allereerst moet vastgesteld worden wat de grondslag is voor het publiceren van deze informatie en pasfoto’s. Kan er sprake zijn van een gerechtvaardigd belang (conform artikel 6.1.f. uit de AVG)? Bij het vaststellen of er sprake is van een gerechtvaardigd belang moet worden vastgesteld of dit gerechtvaardigd belang opweegt tegen de belangen en rechten van de betrokkene, de medewerker(s) in kwestie. WP29 heeft in 2014 een uitgebreide toelichting gegeven over het vaststellen of er sprake is van een gerechtvaardigd belang.

of toestemming?

In verreweg de meeste gevallen zal de organisatie geen beroep kunnen doen op een gerechtvaardigd belang. Het publiceren van informatie en foto’s van medewerkers heeft immers meestal als doel om de organisatie een ‘gezicht’ te geven. Klanten krijgen beeld bij de bemensing van de organisatie. Wie ze aan de lijn kunnen krijgen. Een organisatie profileert zich op die manier. Soms krijgt zelfs de ‘bedrijfshond’ een plaatsje in deze ‘eregalerij’.

Het probleem met toestemming

In al deze gevallen moet er dus worden teruggevallen op de grondslag ‘toestemming’ (artikel 6.1.a uit de AVG). Maar hier doet zich een probleem voor. De toestemming moet namelijk een ‘vrije wilsuiting’ zijn (zie artikel 4.11). In overweging 42 wordt dat als volgt toegelicht: “Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen”. In overweging 43 wordt bovendien gezegd: “Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke (…)”. Hoewel in deze overweging deze ‘wanverhouding’ wordt uitgewerkt voor overheidsinstanties, is het wel duidelijk dat de ‘wanverhouding’ ook wordt verondersteld in de relatie werkgever/werknemer. Dat blijkt uit de WP29 Opinion 2/2017 over data processing at work.

Een paar statements uit dit rapport:

• “It is important to state that employees are seldom in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Unless in exceptional situations, employers will have to rely on another legal ground than consent—such as the necessity to process the data for their legitimate interest”. (p. 4)
• “for the majority of such data processing at work, the legal basis cannot and should not be the consent of the employees (Art 7(a)) due to the nature of the relationship between employer and employee”. (p. 6)
• “(..) employees are not in a position, given the imbalance of power, to give free consent to the processing of their personal data by their employer, and if the data processing is not proportional, the employer does not have a legal ground.” (p. 21)
• “Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer”. (p. 23)

Uit deze publicatie wordt wel duidelijk dat de opstellers bij herhaling wijzen op de onbalans tussen werkgevers en werknemers als het gaat om de geldigheid van toestemming als grondslag voor rechtmatigheid.

Overwegingen

Wat nu? De foto’s verwijderen dan maar? Ik geef hieronder mijn overwegingen. Het is verstandig om in geval van twijfel altijd contact op te nemen met de Autoriteit Persoonsgegevens of een jurist te raadplegen.

Verwijderen is de veilige optie. De hond kun je overigens wel laten staan, die valt niet onder de bescherming van de AVG.

Als ervoor gekozen wordt om de pasfoto’s te laten staan, overweeg dan onderstaande punten:

• Welke risico’s zijn mogelijk verbonden met het publiceren voor deze informatie voor betrokkenen? Medewerkers van een grafisch ontwerpbureau lopen waarschijnlijk minder risico dan medewerkers van een helpdesk voor kindermishandeling. Betrek de medewerkers eventueel bij deze afweging en documenteer dat deze inventarisatie is uitgevoerd (denk aan de verantwoordingsplicht uit de AVG);
• Zorg ervoor dat de verklaring voor toestemming heel erg duidelijk maakt dat de toestemming vrijwillig is en dat er geen enkele consequentie is wanneer er geen toestemming wordt gegeven. De formulering van de toestemming is belangrijk!
• Koppel de toestemming ook procedureel los van het ondertekenen van andere documenten, zoals bijvoorbeeld het arbeidscontract. Er mag niet de suggestie zijn dat dit document ook ‘even’ ondertekend moet worden.
• Overweeg of er eventueel sociale druk gevoeld kan worden door de medewerker om toestemming te geven. Dat kan bijvoorbeeld zo zijn als ‘altijd iedereen’ tekent, dan is de eerste die niet tekent namelijk ‘het zwarte schaap’. Misschien is het een idee om tenminste één persoon sowieso niet te publiceren. Dan is er namelijk een precedent en daarmee maakt de organisatie duidelijk dat het echt niet verplicht is.

Overdreven allemaal? Niet als je de (officiële) publicaties leest en weegt. Wel is duidelijk dat met de AVG de bescherming van (persoons)gegevens echt een issue moet zijn of worden op de agenda van organisaties. Negeren is geen optie meer.

Ik ben heel benieuwd hoe andere organisaties hier mee omgaan. Ervaringen, aanvullingen, tips, andere opinies of commentaar zijn welkom!