Of het nu gaat om een huidige werknemer of een ex-werknemer na beëindiging van de arbeidsovereenkomst, bij verzoeken om toegang tot personeelsdossiers, moeten werkgevers zich aan strikte regels houden, aangezien die dossiers onder de GDPR vallen. In dit artikel kijken we kort naar de belangrijkste verplichtingen voor werkgevers en geven we een enkele essentiële aanbevelingen.
Het uitgangspunt - het recht op inzage en kopie van persoonlijke gegevens
De GDPR geeft werknemers het recht om hun werkgever te vragen of er gegevens over hen worden verwerkt, en zo ja, om deze gegevens in te zien en desgevallend een kopie te vragen. Dit recht moet werknemers met name in staat stellen om de juistheid van hun persoonlijke gegevens die zijn verzameld in het kader van de arbeidsrelatie, te controleren.
Beperkingen - voorzichtigheid is geboden
De werkgever kan de werknemer niet zomaar de toegang tot zijn persoonlijke dossier weigeren, maar er kunnen wel bepaalde beperkingen worden ingeroepen.
1 Teneinde geen afbreuk te doen aan de rechten en vrijheden van anderen (artikel 15 lid 4 GDPR): De toegang kan worden beperkt om onder andere bedrijfsgeheimen, intellectuele eigendom en persoonsgegevens van derden te beschermen.
2 Een kennelijk ongegrond of buitensporig verzoek (Artikel 12(5) GDPR): Een verzoek kan als kennelijk buitensporig worden beschouwd als het herhaaldelijk wordt gedaan, wordt gebruikt om de verwerkingsverantwoordelijke lastig te vallen of te schaden, of een onevenredige administratieve last met zich meebrengt.
3 Inroepen van beperkingen op grond van het recht van de Unie of het nationale recht (artikel 23, lid 1, onder f), GDPR): Deze uitzondering vereist de toepassing van een aantal specifieke voorwaarden.
In de meeste gevallen zal het verbod op afbreuk doen aan de rechten en vrijheden van anderen de belangrijkste reden zijn om toegang te weigeren of te beperken. Dit neemt echter niet weg dat de werkgever altijd in concreto het geïdentificeerde risico moet kunnen aantonen en de voorkeur geven aan anonimisering of verwijdering van gevoelige gegevens boven volledige weigering.
In fine, wat te doen in het geval van een verzoek om toegang en kopie?
1. Identificeer en kwalificeer de betreffende gegevens (persoonsgegevens, gegevens van derden of gegevens die onder het beroepsgeheim vallen, enz.)
2. Beperk de toegang indien nodig en geef de voorkeur aan anonimisering of verwijdering van gevoelige gegevens boven weigering.
3. Informeer de werknemer over eventuele beperkingen of weigeringen en over de mogelijkheid om de zaak voor te leggen aan de gegevensbeschermingsautoriteiten of gerechtelijke stappen te ondernemen.
4. Respecteer de termijnen (in principe één maand vanaf de datum van het verzoek, met de mogelijkheid tot verlenging).
Tot slot, en om samen te vatten, raden we in het geval van een verzoek om toegang tot personeelsdossiers sterk aan om te kiezen voor een voorzichtige (voorkom weigering), een pragmatische (voorkom overbelasting) en toch een proactieve aanpak (verwerk het verzoek snel).
Dit
artikel kan u ook interesseren: Arbeidsovereenkomst
van bepaalde of onbepaalde duur, hoe te kiezen?
Anneleen Van de Meulebroucke, Sacha Henet en Catherine Lipski, Eubelius Advocaten