Zoals u weet, zijn alle werkgevers verplicht zich te houden aan de welbekende Europese Algemene Gegevensbeschermingsverordening (AVG), aangezien ze persoonsgegevens van hun werknemers (namen, voornamen, loon, enz.) “verwerken” (verzamelen, opslaan, doorgeven, enz.). Deze werknemers genieten overigens een aantal rechten, waaronder het recht op toegang.
Wat is het recht op toegang?
Dit betreft het recht van een werknemer om van zijn werkgever de bevestiging te bekomen of deze laatste al dan niet zijn persoonsgegevens verwerkt. Indien dat het geval is, moet de werkgever er toegang toe geven en hem bepaalde informatie verstrekken, zoals onder andere de nagestreefde doeleinden en de categorieën van ontvangers van deze gegevens, bv. een sociaal secretariaat. Meer nog, de werkgever moet hem zelfs een kopie van deze gegevens verstrekken. Daarnaast moet de werknemer dit recht “eenvoudig en met redelijke tussenpozen” kunnen uitoefenen, en zelfs, indien mogelijk, van op afstand via een beveiligd systeem. Bovendien mag de werkgever niet zomaar op eender welke wijze aan deze vereisten voldoen, maar moet hij dit op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke wijze doen, in duidelijke en eenvoudige bewoordingen.
Hoe verloopt dit in de praktijk?
De te volgen procedure wordt normaliter uiteengezet in de “privacy notice” (of een gelijkwaardig document) die aan de werknemers werd bezorgd en die aangeeft wie de contactpersoon is alsook bepaalde praktische modaliteiten uiteenzet (zoals bijvoorbeeld of er al dan niet een identiteitsbewijs vereist is, afhankelijk van hoe dit intern wordt geregeld). De werkgever moet dit verzoek zo snel mogelijk en uiterlijk binnen 1 maand na de ontvangst ervan beantwoorden. Deze termijn kan worden verlengd in geval van een ingewikkeld verzoek of als de werkgever veel verzoeken ontvangt.
Is het een absoluut recht?
Nee, de logica is vooreerst om de betrokkene in staat te stellen om “opnieuw de controle te krijgen” over zijn gegevens. Toch is niet zomaar alles toegestaan.
De AVG erkent zelf dat de uitoefening van dit recht “geen afbreuk [mag] doen aan de rechten of vrijheden van anderen, met inbegrip van [maar niet beperkt tot] het zakengeheim of de intellectuele eigendom”. Ook kan een werkgever “die een grote hoeveelheid gegevens verwerkt” een werknemer vragen om vooraf aan te geven op welke gegevens/verwerkingsverrichtingen zijn verzoek betrekking heeft. Dit maakt het mogelijk om bepaalde vormen van “fishing expeditions” die eigenlijk niet overeenkomen met de onderliggende logica van dit recht aan banden te leggen. Bovendien kan hij weigeren verzoeken te behandelen die “kennelijk ongegrond of buitensporig zijn, met name [maar niet louter] vanwege hun repetitieve karakter”.
In het buitenland zijn sinds de inwerkingtreding van de AVG reeds verschillende rechterlijke uitspraken geveld, zoals inzake de toegang tot een tuchtdossier. Ook voor de Franse gegevensbeschermingsautoriteit gaat het om “een persoonlijk recht dat geen afbreuk mag doen aan de rechten van derden (bv. andere werknemers, bezoekers, enz.). Bijvoorbeeld, in het geval van een recht van toegang met betrekking tot een omstandig verslag dat is opgesteld naar aanleiding van een disfunctionering, moet de identiteit van de personen – andere dan diegene die recht uitoefent – die in het document worden genoemd, worden verborgen”. De Belgische Gegevensbeschermingsautoriteit heeft zelf aangegeven dat dit recht niet rechtvaardigt dat aan een voormalige werknemer een kopie wordt bezorgd van alle e-mails in zijn mailbox op het moment van zijn vertrek en waarvan hij louter de auteur of één van de bestemmelingen was.
Helaas heerst er omtrent de verschillende praktische aspecten nog steeds verdeeldheid tussen de verschillende autoriteiten. Er zou dus best snel een uitspraak van het Hof van Justitie van de Europese Unie volgen teneinde orde op zaken te stellen.
Het is een kwestie van evenwicht
Samengevat: het recht op toegang is niet absoluut, maar in de praktijk is het niet altijd makkelijk om tegelijk zowel te voldoen aan het recht van een persoon om “opnieuw de controle te krijgen” over zijn eigen gegevens, als om tegemoet te komen aan de legitieme belangen van een werkgever om niet meer informatie prijs te geven dan nodig, in het bijzonder wanneer dit noodzakelijk is om de rechten en vrijheden van anderen, waaronder zijn eigen rechten, te beschermen.