Als leidinggevende toon je graag enige betrokkenheid bij je medewerkers. Managers van een afdeling van H&M in Neurenberg, Duitsland, gingen hier echter veel te ver in. Bij een ‘service center’ van de winkelketen is gebleken dat managers op zeer gedetailleerde manier het privéleven van medewerkers bijhielden. Na onderzoek heeft de bevoegde toezichthouder een boete opgelegd van meer dan 35 miljoen euro. Het is de een-na hoogste boete die ooit in Duitsland is opgelegd op grond van de AVG.
Managers van de afdeling bleken jarenlang veel meer over hun medewerkers te noteren dan toegestaan. Onder meer van vakanties en familieomstandigheden werden notities gemaakt die werden opgeslagen. Zelfs ziektes en geloofsovertuiging werden in bepaalde gevallen vastgelegd. Eén van de doelen van het verzamelen was om de informatie te gebruiken bij beoordelingen. De notities waren intern zeker voor een groep van 50 leidinggevenden in te zien. Pas nadat door een configuratiefout het hele bedrijf de gegevens kon inzien werd deze werkwijze publiek bekend. Tijdens een onderzoek van de Hamburgse toezichthouder bevestigden medewerkers dat dit gangbare praktijk was.
Met betrokkenheid van leidinggevenden is natuurlijk niet veel mis. Medewerkers vertellen, ook aan hun baas, weleens verhalen over de vakantie, of zelfs over wat ze onder de leden hebben (gehad). Het vastleggen van dit soort informatie is wel problematisch. In het geval van vakantie en familieverhalen geldt: wat je niet strikt nodig hebt voor de uitvoering van de arbeidsovereenkomst mag je in beginsel niet verwerken. Met toestemming kan dat in deze gevallen alsnog, maar toestemming in de arbeidssfeer stuit op wat AVG-weerstand. Toestemming moet immers ‘in vrijheid gegeven’ zijn, en hoe vrij ben je tegenover je werkgever, als je beoordeling op het spel staat?
Het noteren en bewaren van medische en religieuze informatie van medewerkers is helemaal uit den boze. Op het verwerken van dergelijke zogenaamde ‘bijzondere categorieën persoonsgegevens’ rust een verbod. Dat verbod kan in uitzonderingsgevallen worden opgeheven, maar daarvan blijkt hier geen sprake te zijn.
Het komt nog steeds veel voor dat bedrijven moeten wennen aan de ‘nieuwe’ privacyregels. Doorgaans gaat het dan gelukkig over minder gevoelige verwerkingen. Strikt genomen mag je geen verjaardagskalender in de lunchruimte hangen – zeker niet met geboortejaar erbij – en privéadressen mogen niet gedeeld worden met collega’s die een verjaardagskaart willen sturen. Als hoofdregel kunnen we samenvatten: laat werknemers hun privéleven bespreken op de werkvloer als zij dat willen, maar bewaar die informatie niet in geschreven vorm. En als je leidinggevende persoonlijke informatie noteert die niet bij je werk horen, trek aan de bel en dien een klacht in. Over je privégegevens ben jíj de baas.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.