Gebruik van persoonsgegevens: kijk uit met de doelomschrijving!

donderdag, 14 januari 2016

Bedrijven die persoonsgegevens verwerken dienen vooraf helder te bepalen voor welke doeleinden zij dat doen. Een te beperkte doelomschrijving kan daarbij leiden tot complicaties. Derhalve dient de formulering van de doelomschrijving zorgvuldig te worden opgesteld. Zo blijkt ook uit een uitspraak van Rechtbank Oost-Brabant

Wat was er aan de hand?

Een regionaal busbedrijf voerde cameratoezicht in voor (onder meer) haar voertuigen. Er is een “Regeling Cameratoezicht” opgesteld. Als algemeen doel voor het cameratoezicht is opgenomen: de bevordering van (sociale) veiligheid, gezondheid en welzijn van mensen en middelen die onder de zorg van de onderneming vallen. In deze Regeling beperkt het bedrijf echter ook uitdrukkelijk de mogelijkheden om camerabeelden tegen haar personeel te gebruiken (beperking doel). In de regeling is namelijk opgenomen dat:  

“de camerabewaking uitdrukkelijk niet is bedoeld om het gedrag van medewerkers te observeren, tenzij sprake is van een redelijk vermoeden van een misdrijf of betrokkenheid daarbij. De beelden kunnen alleen tegen medewerkers worden gebruikt als onderdeel van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of politie/justitie de beelden heeft opgevraagd.” 

De Ondernemingsraad van het bedrijf ontdekte al snel dat het busbedrijf de camerabeelden uit haar bussen tegen medewerkers gebruikte in zaken waarin géén sprake was van een redelijk vermoeden van (betrokkenheid bij) een misdrijf. Bijvoorbeeld werden ontslagzaken gestart nadat via de camerabeelden was gezien dat door medewerkers een sigaret werd gerookt of werd gebeld met een mobiele telefoon. 

De Ondernemingsraad stapt naar de rechter en vordert een verbod voor het busbedrijf om de camerabeelden tegen personeel te gebruiken in andere situaties dan die zijn opgenomen in de Cameraregeling. 

Het busbedrijf voert verweer. Volgens het bedrijf heeft het hierboven geciteerde (en door haar zelf opgestelde) deel van de regeling geen zelfstandig bestaansrecht, omdat het niet zou stroken met het doel van de van de cameraregeling (bevordering veiligheid, gezondheid en welzijn van mensen en middelen die onder haar zorg vallen). Het bedrijf stelt bovendien dat zij alleen beelden bekijkt en bewaart bij een een ‘concrete incidentmelding’.  

Oordeel rechter

De rechter stelt de Ondernemingsraad in het gelijk en verbiedt het busbedrijf om de beelden te gebruiken tegen medewerkers in situaties die niet in het camerareglement zijn opgenomen. 

Volgens de rechter miskent het bedrijf dat in de cameraregeling zelf is bepaald bij welke incidenten camerabeelden rechtspositioneel tegen medewerkers kunnen worden gebruikt. Namelijk alleen bij een formele aangifte van (betrokkenheid bij) een misdrijf. De regeling wordt volgens de rechter te ruim uitgelegd als het bedrijf ook camerabeelden gebruikt tegen personeel na bijvoorbeeld een klacht over telefoongebruik door een chauffeur tijdens het besturen van de bus. 

Ook de verwijzing naar het algemene doel van de camerabewaking en haar zorgplicht als vervoerder baat het bedrijf niet. De rechter oordeelt dat die doeleinden niet in het gedrang komen door een juiste toepassing van de in diezelfde camerageling opgenomen rechtspositionele bescherming van haar chauffeurs. 

Conclusie

De werkgever in kwestie loopt aan tegen een door haar zelf aangebrachte beperking in de doeleinden waarvoor zij camerabeelden mag gebruiken. Door de gekozen formulering in de Cameraregeling is het door de werkgever gewenste gebruik van de camerabeelden tegen personeel, in principe niet (meer) mogelijk. Een zorgvuldige formulering van de doeleinden waarvoor bepaalde persoonsgegevens worden verwerkt, kan dergelijke problemen voorkomen. 

Ook met het oog op de Wet Bescherming Persoonsgegevens is een zorgvuldige doelomschrijving noodzakelijk. Op grond van de Wbp mag een bedrijf persoonsgegevens alleen verwerken voor een vooraf bepaald, duidelijk omschreven doel. Als het bedrijf de gegevens vervolgens voor een ander doel wil gebruiken, dan is dat alleen toegestaan als dit doel (voldoende) verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld (artikel 9 Wbp). Ook op deze grond is het dus van belang dat de primaire (eerste) doelomschrijving zorgvuldig is gekozen. Het belang daarvan is sinds 1 januari jl. enkel verder toegenomen, nu de Autoriteit Persoonsgegevens sindsdien bevoegd is om wegens overtreding van deze Wbp-bepaling forse boetes op te leggen. 

Heeft u al voor elke vorm van gegevensverwerking de doeleinden bepaald of heeft u hier vragen over? Neemt u dan gerust contact op met de leden van de Praktijkgroep Privacy.