Recht op inzage en kopie van de werknemer: hoe reageren als werkgever?

Werkgevers worden meer en meer geconfronteerd met het verzoek van de werknemers om inzage in de persoonsgegevens die door de werkgever worden verwerkt. Hoe dient de werkgever hierop te reageren?

Hebben werknemers recht op inzage en kopie?

Ja, werknemers kunnen op elk moment vragen aan de werkgever of er persoonsgegevens over hen verwerkt worden en desgevallend op basis van de GDPR (AVG) verzoeken om inzage en een kopie van de persoonsgegevens die de werkgever over hen verwerkt (bv. toegang tot hun personeelsdossier, toegang tot de IT-logs, toegang tot de e-mails, …).

Het verstrekken van een kopie van de persoonsgegevens is in principe kosteloos. Indien het verzoek van de werknemer buitensporig is omwille van het repetitief karakter, kan er een redelijke vergoeding aangerekend worden.

Werknemers verzoeken in de praktijk vaak naar inzage of een kopie van de over hen verwerkte persoonsgegevens naar aanleiding van een ontslagbeslissing van de werkgever of naar aanleiding van het mislopen van een promotie.

Kan dit recht op inzage en kopie worden geweigerd?

In principe wel, de gegevensbeschermingsautoriteit (GBA) erkent immers dat dit recht niet absoluut is. Zoals uitdrukkelijk vermeld in de GDPR, moet er rekening worden gehouden met de rechten en vrijheden van anderen bij het beoordelen van het recht op inzage en kopie van de werknemer. De rechten en vrijheden van anderen mogen er echter niet toe leiden dat aan werknemers alle informatie wordt onthouden.

Het risico op schending van de persoonsgegevens van bijvoorbeeld voormalige leidinggevenden en de HR manager kan niet leiden tot de weigering van het recht op inzage van aantekeningen en opmerkingen in het personeelsdossier. De werkgever dient de persoonsgegevens van derden in de mate van het mogelijke vooraf te verwijderen of te anonimiseren.

Ook een verzoek van een werknemer tot inzage in IT logs kan niet zomaar geweigerd worden omwille van de rechten en vrijheden van anderen. De voorkeur dient te worden gegeven aan het anonimiseren van de IT logs. Daarbij dient er wel een afweging te worden gemaakt tussen de uitoefening van het recht tot inzage van de werknemer en de mogelijke grote administratieve werkdruk die de verplichting tot inwilliging van het recht op inzage teweegbrengt. Zo werd aanvaard door de GBA dat de werkgever het verzoek van de werknemer tot inzage in de IT logs niet diende in te willigen, aangezien dit een onevenredige werklast aan de werkgever zou opleggen.

Een werknemer kan ook ten allen tijde een verzoek tot toegang tot e-mails en een kopie ervan vragen aan de werkgever. Het loutere feit dat de werknemer nog zelf toegang zou hebben tot zijn e-mails, staat dit verzoek niet in de weg. Het risico op schending van de persoonsgegevens van afzenders of ontvangers van de e-mails is eveneens geen argument om het verzoek van de werknemer tot toegang tot de e-mails of een kopie ervan te weigeren, gelet op de mogelijkheid om de e-mails te anonimiseren.

De werkgever kan in principe wel de inzage en de kopie van persoonsgegevens weigeren omwille van het buitensporig of kennelijk ongegrond karakter van het verzoek (bv. indien op korte termijn meerdere verzoeken werden ingediend).

Daarnaast is het ook mogelijk voor de werkgever om de inzage en kopie van persoonsgegevens te weigeren omwille van de vertrouwelijkheid van de erin vervatte ondernemingsgegevens. De werkgever dient daarbij wel voldoende te kunnen aantonen dat het inwilligen van het verzoek zou neerkomen op een schending van het zakengeheim of de intellectuele eigendom, aangezien de documenten of bestanden, zoals bv. e-mails, potentieel gevoelige informatie over de onderneming bevatten.

Dient de werkgever te reageren op het verzoek?

Ja, de werkgever dient in elk geval te reageren op het verzoek van de werknemer.

De werkgever dient de werknemer binnen één maand na het ontvangen van het verzoek te informeren over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van het verzoek heeft de werkgever ook de mogelijkheid om binnen diezelfde termijn van één maand te laten weten aan de werknemer dat de termijn met maximaal twee maanden verlengd zal worden.

De werkgever kan ook binnen die termijn van 1 maand de werknemer vragen om het verzoek verder te preciseren, indien de verwerkingsverantwoordelijke een grote hoeveelheid gegevens van de betrokken persoon verwerkt en het verzoek heel algemeen zou geformuleerd zijn.

Indien de werkgever meent dat hij geen gevolg kan geven aan het verzoek, dient hij de betrokken persoon hier binnen de maand na het verzoek over te informeren. Zoals hierboven besproken, is dat bv. verdedigbaar wanneer er een risico is op schending van het zakengeheim (en dit op voldoende wijze kan worden aangetoond), het verzoek buitensporig is, of dit aanleiding geeft tot een kennelijk onredelijke situatie, of tot een onevenredige werklast voor de onderneming.

Het nalaten van de werkgever om te reageren binnen één maand na het ontvangen van het verzoek, komt neer op het geen nuttig gevolg geven aan het verzoek van de werknemer en een schending van de GDPR (AVG).

Dient de werkgever zich voor te bereiden op verzoeken?

Ja, de werkgever heeft de verplichting zich voor te bereiden op verzoeken tot uitoefening van rechten, en om deze te faciliteren.

Bij een effectief verzoek tot inzage of kopie kan de onderneming de volgende zaken ondernemen, teneinde ervoor te zorgen dat er tijdig (binnen één maand na ontvangst ervan) gevolg kan worden geven aan het verzoek:

• vragen aan de werknemer om zijn verzoek verder te preciseren;
• overgaan tot het anonimiseren of verwijderen van de persoonsgegevens van derden in de mate van het mogelijke;
• nagaan of de inwilliging van het verzoek geen onevenredige situatie te weeg zou brengen;
• bewijs verzamelen dat aantoont dat de inwilliging van het verzoek een risico op de schending van het zakengeheim of andere rechten van de onderneming zou uitmaken.

De werkgever doet er best aan om in de privacy policy een praktische procedure te voorzien voor het geval van uitoefening van rechten in het kader van de GDPR, waaronder het recht op inzage en kopie, zodat de werknemers die hiervan gebruik willen maken beter geïnformeerd zijn over de verplichtingen van de werkgever, de mogelijke beperkingen van dit recht en binnen welke wettelijke termijnen het nodige gevolg aan dergelijke verzoeken dient te worden geven.

Amélie Desmadryl (advocaat Claeys & Engels)