FAQ GDPR
Bescherming van de persoonsgegevens > FAQ GDPR
Deze FAQ-lijst heeft (voorlopig) betrekking op de kwestie van camera's in een bedrijf, foto's van werknemers en de naleving van de GDPR tijdens sociale verkiezingen.
Volledigheid is niet ons doel: voor een betere leesbaarheid geven wij voorrang aan een beknopt overzicht, zonder diepgravende analyses. Maar als u een specifiek advies of meer informatie wenst, kunt u altijd terecht bij naomi.akanga@icb-institute.be .
Hoe kan ik in een bedrijf camera's gebruiken en voldoen aan de GDPR-wetgeving?
Het gebruik van camera's in een bedrijf en dus het filmen van mensen wordt beschouwd als verwerking van persoonsgegevens. Het is immers mogelijk om op filmbeelden mensen te identificeren. GDPR heeft geleid tot enkele wijzigingen in de Belgische wetgeving.
U dient een onderscheid te maken tussen camera's die alleen werknemers filmen en camera's die zowel werknemers als het publiek filmen. Verschillende wetten en voorschriften zijn hierop van toepassing:
- CAO nr. 68 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de camerabewaking op de arbeidsplaats;
- De Europese Algemene Verordening Gegevensbescherming (AVG), ook wel GDPR genoemd;
- De wet tot regeling van de plaatsing en het gebruik van bewakingscamera's van 21 maart 2007, bijgewerkt en gepubliceerd op 31/08/2018.
Hoe houdt u rekening met al deze wetten en voorschriften? Wij proberen u wegwijs te maken.
Camera's die alleen maar werknemers filmen op de werkplek
Als de camera's alleen maar werknemers filmen, dient de werkgever de voorschriften van CAO nr. 68 en van de GDPR na te leven.
Het begrip "werkplek" wordt niet omschreven in de CAO. Wij zijn van mening dat deze term ruime moet worden begrepen en ook de videobewaking van een chauffeur in een bus of autocar moet omvatten.
Videobewaking op de werkplek is toegelaten als een aantal voorwaarden vervuld zijn.
Ten eerste moet de controle een van de in de wet omschreven legitieme doeleinden nastreven. Het moet gaan om:
- het verzekeren van de veiligheid en gezondheid van de werknemers;
- de bescherming van de goederen van de onderneming;
- de controle van het productieproces;
- de controle van de arbeid van de werknemers. Let op: er mogen geen camera's worden gebruikt om beslissingen en evaluaties betreffende een werknemer te rechtvaardigen.
De controle moet in verhouding tot het doel zijn: de bewaking moet een van de bovenstaande doelen nastreven en mag niet buitensporig zijn.
De controle moet transparant zijn: de werkgever moet onder andere meedelen of de beelden al dan niet bewaard worden, hoe lang ze bewaarde worden, hoeveel camera's er waar staan, wanneer ze functioneren, welke rechten de werknemers hebben, ... Als de arbeid wordt gecontroleerd (4e legitiem doel) dan moeten de bewakingskenmerken in het arbeidsreglement worden vermeld.
Sinds GDPR van kracht is, moet ook de verwerking "camerabewaking" worden vermeld in het Register van de Gegevensverwerkingen (bekijk ons model). Dit vervang de aangifteplicht bij de Privacycommissie (die ondertussen de Gegevensbeschermingsautoriteit is geworden). GDPR verplicht de werkgever om te waken over de vertrouwelijkheid van de verwerkte gegevens en om de werknemer toegang te geven tot de gegevens die op hem of haar betrekking hebben.
Camera's die werknemers en klanten, bezoekers, leveranciers, ... filmen
In deze situatie dient men rekening te houden met CAO nr. 68, GDPR en de camerawet. Voor de naleving van CAO nr. 68 verwijzen wij naar de bovenstaande uiteenzetting.
U dient dan de volgende verplichtingen na te komen:
- U dient de camera elektronisch aan te geven bij de politie via de website www.aangiftecamera.be. U dient elke bewaakte plek te registreren en deze registratie jaarlijks te bevestigen. Omdat dit een nieuwe maatregel is, geldt een overgangsperiode van 2 jaar. De aangiften moeten in elk geval vóór 25 mei 2020 gebeuren.
- U dient een register van de beeldverwerkingen bij te houden. Gebruik hiervoor het model dat wij op onze website aanbieden, maar u dient er bepaalde informatie aan toe te voegen.
- U dient een pictogram aan te brengen dat aangeeft dat er camerabewaking plaatsvindt. Op de pictogrammen moet ook deze informatie staan (opgelet, bestaande pictogrammen moeten vóór 11 december 2018 worden aangepast) :
- "Camerabewaking - Wet van 21 maart 2007"
- De naam van de natuurlijke persoon of de rechtspersoon die verantwoordelijk is voor de verwerking. - Dit is de persoon die heeft beslist om bewakingscamera's te plaatsen en de doeleinden ervan heeft vastgelegd. Meestal is het de werkgever.
- Het postadres en eventueel het e-mailadres of het telefoonnummer waarop de verantwoordelijke voor de verwerking of zijn vertegenwoordiger bereikt kan worden. De gefilmde personen moet een middel hebben om de verantwoordelijke voor de verwerking te bereiken om hun rechten uit te oefenen.
- Eventueel de gegevens van de Data Protection Officer (DPO of functionaris voor gegevensbescherming).
- Eventueel de website van de verantwoordelijke voor de verwerking, waar de betrokken personen alle informatie over de beeldverwerking door middel van bewakingscamera's kunnen raadplegen.
- De gegevens mogen slechts bewaarde worden als ze relevant zijn om het bewijs te leveren van nadelige feiten of gevolgen van een inbreuk of als ze de mogelijkheid bieden om de auteur van een inbreuk, een getuige of een slachtoffer te identificeren. Andere beelden, die als niet-relevant worden beschouwd, mogen slechts één maand worden bewaard.
Hoe vul ik het verwerkingsregister in als ik bewakingscamera's gebruik?
Vroeger hield de Privacycommissie een openbaar register bij van alle camera's. Nu bepaalt de wet dat de verantwoordelijke van het videobewakingssysteem (meestal de werkgever) een schriftelijk register moet bijhouden met de verwerkingsactiviteiten van de camerabeelden. Hij dient dit register op verzoek te tonen aan de politie of de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).
U vindt een model van dit register op onze website, in het gedeelte "Bescherming van persoonsgegevens". Gebruik dit model voor de verwerking van de beelden van een bewakingscamera, maar voeg er de volgende informatie aan toe:
- De wettelijke basis voor de verwerking: De wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's;
- Over welke soort plek het gaat: een open of gesloten plek (al dan niet toegankelijk voor het publiek) + adres;
- Een technische beschrijving van de camera's: vaste camera's (al dan niet tijdelijk) of mobiele camera's, technische beschrijving van de camera's (model, merk, resolutie, ...), plaats van de camera's als het vaste camera's zijn;
- Als het tijdelijke of mobiele camera's betreft: beschrijving van de gebruiksperimeter van de camera's en de gebruiksperiode (uren van gebruik);
- De manier waarop u informeert over de verwerking: aangifte aan de politie, reglementair pictogram;
- De verwerkingsplaats: u dient te vermelden waar de beelden worden bekeken en/of bewaard;
- Het feit of de beelden in real time worden bekeken: als iemand permanent de plek bewaakt, vermeld dan hoe dit is georganiseerd (wie? wanneer? waar?).
Wat zegt GDPR over foto's die van werknemers worden genomen?
Het gebeurt dat een werkgever foto's van zijn werknemers neemt, voor badges, een "who is who" in het bedrijf, tijdens bedrijfsevenementen, bij ontvangst van derden op het bedrijf.
Ook vóór GDPR werd ingevoerd moesten mensen hun toestemming geven voor het gebruik dat er van foto's van hen werd gemaakt. Oude rechtspraak bepaalde dat als iemand voor een foto poseerde, hij impliciet had ingestemd met het latere gebruik ervan. Deze rechtspraak geldt niet langer, omdat GDPR nu eist dat toestemming nu vrij, specifiek, eenduidig en geïnformeerd moet zijn. Stilzwijgende toestemming bestaat dus niet meer!
Het legitieme belang van de onderneming kan ook als rechtsgrond dienen voor de verwerking van foto's van werknemers, mits het belang van de gefotografeerde persoon niet onnodig is wordt geschaad.
Wenst u meer te weten over de verschillende mogelijke rechtsgronden voor de verwerking van gegevens? Raadpleeg dan ons document met uitleg in het gedeelte "Bescherming van persoonsgegevens".
Hoe gebruikt u deze twee rechtsgronden correct?
De toestemming
De toestemming moet bewezen kunnen worden. Er moet dus een spoor van worden bewaard. De werkgever dient te voorzien in een specifieke, geïnformeerde toestemmingsverklaring, ondertekend of elektronisch aanvaard (aan te kruisen vakje), die vermeldt waarom de foto wordt genomen en verwerkt.
De Gegevensbeschermingsautoriteit (GBA) gaat ervan uit dat de toestemming de meest geschikte rechtsgrond is voor foto's die zij "nice to have" noemt. Denk aan foto's die op een website worden gepubliceerd om klanten te laten zien wie hun contactpersoon is, foto's die worden genomen om goede werkrelaties te bevorderen (bijvoorbeeld een foto van een chauffeur die jarig is in de vestiaire/kantine, foto's van een teambuilding-evenement die collega's later onder elkaar delen, een foto van een chauffeur die wordt verstuurd opdat een groep die hij moet ophalen hem zou herkennen). Deze foto's zijn niet strikt noodzakelijk maar de werkgever gebruikt ze eerder om een aangename werkomgeving te creëren, de samenhang van de groep te verbeteren.
Legitieme belangen
De werkgever zal moeten kunnen bewijzen dat hij een legitieme belang heeft bij het bezit van foto's van de werknemers. De werkgever zal er ook voor moeten zorgen dat een evenredig evenwicht wordt gevonden tussen zijn legitieme belang en de persoonlijke belangen van de betrokken personen.
Dergelijke situaties zijn zeer beperkt in aantal. Wij denken bijvoorbeeld aan een foto op een badge om de veiligheid in het bedrijf te verzekeren. De GBA noemt deze foto's "need to have". In deze situatie heeft de veiligheid in het bedrijf voorrang op de belangen van de gefotografeerde persoon. De werkgever heeft dan echt een foto nodig om zijn doelstelling - veiligheid - te kunnen bereiken.
Hoe respecteer je de GDPR-regels in de context van de sociale verkiezingen?
De verwerkingen van persoonsgegevens in het kader van sociale verkiezingen moeten uiteraard in het register worden vermeld. In de volgende tabel vindt u de wettelijke basis voor elke behandeling, de minimale opslagperiode en de wettelijke basis voor opslag. Er kan worden voorzien in langere bewaartermijnen indien deze gerechtvaardigd zijn.
Persoonsgegevens (Procedurestap) | Wettelijke basis verwerking | Minimale bewaartermijn | Wettelijke basis bewaartermijn |
Houders van leidinggevende of kaderfunctie (Bericht X-60) | Artikel 10 Wet SV 4/12/2007 | 25 dagen na de verkiezingen, tenzij beroep | Artikel 68 Wet SV 4/12/2007 |
Houders van kaderfunctie (Bericht X-35) | Artikel 12 Wet SV | 25 dagen na verkiezingen, tenzij beroep | Artikel 80 Wet SV |
Houders van leidinggevende functie (Bericht X-35) | Artikel 12 Wet SV | Tot de volgende sociale verkiezingen | Artikel 80 Wet SV |
Houders van een leidinggevende of kaderfunctie/Kiezerslijsten/Verantwoordelijke uitdelen oproepingsbrieven (Bericht X) | Artikel 14 Wet SV | Y+84 | Artikel 45 Wet SV |
Kandidatenlisten/Getuigenlijst/Klachten tegen en wijzigingen van kandidatenlijsten (X+35 - X+76) | Artikelen 33,37, 38 et 44 Wet SV | Y+84 | Artikel 45 Wet SV |
Samenstelling stembureau en indeling kiezers (X+60) | Artikel 43 Wet SV | Y+84 | Artikel 45 Wet SV |
Lijsten bewijs versturen oproepingsbrief (X+80) | Artikel 47 Wet SV | 25 dagen na verkiezingen, tenzij beroep | Artikel 68 Wet SV |
Lijsten aanwezigheden stembureau/stemming per brief (Y) | Artikel 59 Wet SV | 25 dagen na verkiezingen, tenzij beroep | Artikel 68 Wet SV |
Stembiljetten, omslagen stemming per brief (Y) | Artikelen 50 et 57 Wet SV | 25 dagen na verkiezingen, tenzij beroep | Artikel 68 Wet SV |
Processen-verbaal (X+79 en Y) | Artikelen 68 et 78 Wet SV | Hele legislatuur | Artikel 38 Wet SV |
Het College voor de bescherming van persoonsgegevens heeft in zijn advies over de wijziging van de Wet op de sociale verkiezingen benadrukt dat de werkgever de kiezerslijsten (fase X) niet per e-mail mag verspreiden. Open publicatie op de interne website van het bedrijf (met mogelijkheid tot downloaden) moet ook worden vermeden. De kiezerslijsten moeten elektronisch beschikbaar zijn op een gesloten platform of op een door de werkgever beschermd intranet en alleen toegankelijk zijn voor de werknemers van de onderneming. Dit belet niet dat er een e-mail naar de werknemers wordt gestuurd met een link naar een dergelijk platform of intranet, op voorwaarde dat alleen de werknemers van het bedrijf er toegang toe hebben.