Naar aanleiding van de Corona-uitbraak worden veel werkgevers verplicht preventiemaatregelen te nemen ten aanzien van hun werknemers. Dit kan gaan van flexibele werkuren, thuiswerk, organiseren van de arbeidsruimte tot het uitstellen van een personeelsfeest. Zodra het nemen van preventiemaatregelen samengaat met het verwerken van persoonsgegevens moet ook de GDPR gerespecteerd worden.
Mogen persoonsgegevens die betrekking hebben op preventiemaatregelen naar aanleiding van COVID-19 verwerkt worden door de werkgever?
Ook in het kader van het nemen van preventieve gezondheidsmaatregelen geldt als algemeen principe dat elke verwerking van persoonsgegevens een verwerkingsgrond moet respecteren overeenkomstig artikel 6.1 GDPR. De Gegevensbeschermingsautoriteit benadrukt dat in het kader van preventiemaatregelen genomen door werkgevers het inroepen van de verwerkingsgrond “noodzakelijk voor de bescherming van vitale belangen van de betrokkene of andere natuurlijke personen” niet kan ingeroepen worden.
De verwerking van gezondheidsgegevens is aan strengere regels onderworpen. In principe is het verwerken van gezondheidsgegevens verboden. Ondernemingen kunnen enkel medische gegevens verwerken indien zij handelen in uitvoering van uitdrukkelijke richtlijnen opgelegd door de bevoegde overheden.
Mag een werkgever controles uitvoeren op de werkvloer?
Het beoordelen van een risico voor de gezondheid, het opsporen van besmettingen, noch het stellen van een diagnose is de taak van de werkgever. Enkel de arbeidsgeneesheer heeft deze bevoegdheid. Hij mag de werkgever informeren indien er eventueel een besmetting of mogelijk gezondheidsrisico is vastgesteld bij een werknemer.
Het louter opnemen van de lichaamstemperatuur wordt niet als een verwerking van persoonsgegevens aanzien. Het opmaken van een register van de controles wordt wél aanzien als het verwerken van persoonsgegevens.
De werkgever kan zijn werknemers niet verplichten om een vragenlijst in te vullen omtrent zijn medische geschiedenis, zijn gezondheidstoestand of zijn recente activiteiten zoals reizen of uitstappen. De werknemers kunnen enkel gesensibiliseerd worden om spontaan risicovolle situaties zoals koorts te melden en in hun vrije tijd geen onnodige risico’s te nemen.
Mag de werkgever de namen bekend maken van de besmette personen?
Om de vertrouwelijkheid te garanderen en het principe van de minimale gegevensverwerking mag de werkgever de namen van de besmette personen niet bekendmaken binnen het bedrijf. De werknemers kunnen wel op de hoogte gebracht worden van het feit dat er een besmetting is vastgesteld, zonder vermelding van de identiteit van de betrokken persoon.
De naam van de besmette persoon mag uiteraard wél gecommuniceerd worden aan de arbeidsgeneesheer of aan de bevoegde overheidsdiensten.
Comments