In de recente pers zijn berichten verschenen over de vraag of werkgevers de e-mails van hun werknemers mogen lezen. De directe aanleiding voor deze berichten is een arrest van het Europees Hof voor de Rechten van de Mens van 12 januari 2016. Dit arrest behandelt één specifieke zaak over feiten die zich afspeelden in Roemenië (en dus onder het Roemeens privacy-recht vielen). Enige zin voor nuancering is dus op zijn plaats, wanneer men uit dit arrest lessen wilt trekken voor een Belgische situatie.
Hierna zet ik uiteen wat de relevantie is van het arrest voor Belgische werkgevers, en welke acties een Belgische werkgever kan ondernemen:
De Belgische regels
Naar Belgisch recht is de controle op het werk van het e-mail verkeer en van het internetgebruik van een werknemer, onderworpen aan de nationale cao nr. 81 en de Privacy-wet. Dit blijft onverminderd zo na het voormelde arrest.
De controle op de e-mails en op het internetgebruik van een werknemer is vandaag al mogelijk, maar enkel voor zover de werkgever een legitieme doelstelling nastreeft en zijn handelswijze proportioneel is met het vooropgestelde doel van de controle. De werkgever moet ook bepaalde procedurele voorschriften naleven bij de individualisering van de gegevens.
Het feit dat een werkgever kan overgaan tot de controle van de e-mails en van het internetgebruik van een werknemer, en de modaliteiten daarvan, moeten ook vooraf het voorwerp zijn geweest van een collectieve en individuele informatie. De meeste bedrijven vermelden de regels omtrent het gebruik van de IT-infrastructuur en de modaliteiten van controle daarop, in het arbeidsreglement. Maar dit is niet strikt noodzakelijk.
Meer specifiek, kan een werkgever enkel overgaan tot de controle van elektronische online-communicatiegegevens mits één of meer van de volgende vier doeleinden wordt nagestreefd:
het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden;
de bescherming van de economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken;
de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de onderneming;
het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van onlinetechnologieën.
Wanneer de controle plaatsvindt met het oog op de vierde vermelde doelstelling, is een directe individualisering van de gegevens niet zomaar mogelijk, maar moet de werkgever eerst een collectieve waarschuwing uitsturen aan het personeel dat er misbruiken worden vastgesteld. Pas indien, desondanks deze collectieve waarschuwing, één of meer personeelsleden de regels blijven overtreden, kan de werkgever de communicatiegegevens individualiseren en de betrokken werknemer(s) hierop aanspreken.
Uiteraard moet de werkgever bovendien proportioneel te werk gaan en kiezen voor een controle waarbij de inmenging in de privacy van de werknemers in een redelijke verhouding staat tot de doelstelling die de werkgever met die controle nastreeft.
Relevantie van het recente arrest van het Europees Hof voor de Rechten van de Mens
In het voormelde recente arrest van het Europees Hof voor de Rechten van de Mens werd geoordeeld dat het proportionaliteitsvereiste was gerespecteerd, in acht genomen de volgende feitelijke vaststellingen:
De controle had betrekking op een account die de werknemer op vraag van de werkgever had aangemaakt op Yahoo Messenger voor professionele doeleinden;
De werkgever beschikte over een duidelijke interne policy, die het gebruik van werkmateriaal voor private doeleinden volledig verbood;
De werkgever had de werknemer eerst geconfronteerd met het vermoeden dat de werknemer de Yahoo Messenger eveneens gebruikte om privématige berichten uit te wisselen. Hierop had de werknemer dit (in strijd met de waarheid) ontkend;
Vervolgens had de werkgever een afschrift gemaakt van de berichten die de werknemer gedurende een periode van 9 dagen had verzonden, en de werkgever had de werknemer ontslagen wegens het niet naleven van de interne richtlijnen. De inhoud van de privé e-mailberichten werd niet in het debat betrokken, enkel het feit dat er privé berichten verzonden waren.
In andere arresten, met andere feiten, heeft het Europees Hof van de Rechten van de Mens wel geoordeeld dat de privacy van de werknemer werd geschonden. De notie die het Hof daarbij telkens centraal plaatst, is die van de “redelijke privacy-verwachting” van de werknemer. Deze redelijke privacy-verwachting van de werknemer wordt sterk bepaald door de wijze waarop de werkgever vooraf met de werknemer heeft gecommuniceerd over de regels die moeten worden nageleefd bij het gebruik van de IT-infrastructuur en over de controle hierop.
Opmerkelijk daarbij is dat het Europees Hof voor de Rechten van de Mens duidelijk vermeldt dat een werknemer in principe redelijkerwijze mag veronderstellen dat het hem is toegestaan om in redelijke mate gebruik te maken van de IT-infrastructuur voor het verzenden van privé-berichten en dat een werknemer in principe mag veronderstellen dat de werkgever de privacy van deze berichten zal respecteren. Deze privacy-verwachting moet dus uitdrukkelijk en duidelijk worden tegengesproken door de werkgever.
Actie te ondernemen door werkgevers
Eens te meer blijkt uit dit arrest dat een werkgever een belang heeft bij de invoering van een heldere policy die op voldoende gedetailleerde wijze de regels vastlegt die de werknemers moeten volgen wanneer zij de IT-infrastructuur van de werkgever gebruiken.
Ook de wijze waarop de werkgever hierop zal controleren, moet opgenomen zijn in de interne beleidslijnen en deze controle moet gebeuren met inachtneming van de nationale cao nr. 81.
Ten slotte, een controle op e-mails en op internetgebruik is een “verwerking van persoonsgegevens” en valt dus onder het toepassingsgebied van de Privacy-wet. Dit wilt ook zeggen dat een werkgever die een controlesysteem implementeert, dit moet aanmelden bij de Privacy-commissie.
