Ondernemingsraden let op met privacy!

 in Arbeidsrecht

Ondernemingsraden vervullen een belangrijke rol met betrekking tot privacy. Elk besluit tot het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken en/of beschermen van persoonsgegevens is namelijk instemmingsplichtig. Dit betekent dat de ondernemer om een dergelijk besluit te kunnen nemen óf instemming nodig heeft van de ondernemingsraad óf vervangende instemming van de kantonrechter. Zonder instemming kan de ondernemer niet verder.

Bij de ondernemingsraad van Apple ging het bíjna goed. Wat was er aan de hand?

Apple maakt gebruik van een klanttevredenheids-enquêtesysteem. Per e-mail worden klanten gevraagd om een meegezonden enquête in te vullen. In deze enquête worden onder meer vragen gesteld over hoe de bezoeker de manier waarop hij in de winkel door de Applemedewerker is geholpen, heeft ervaren. Tot oktober 2016 werd in de enquête geen voornaam van de Applemedewerker vermeld. Vanaf oktober 2016 is Apple echter wel de voornaam gaan vermelden. Het doel hiervan was om de respons op de enquêtes te verhogen. Apple heeft haar ondernemingsraad niet om instemming gevraagd. Maar was dit wel juist?

De ondernemingsraad maakte zich zorgen over de privacy van de medewerkers. Tijdens overlegvergaderingen, door brieven en e-mails heeft de ondernemingsraad deze zorgen geuit. Ook heeft de ondernemingsraad contact gehad met de Autoriteit Persoonsgegevens. De ondernemingsraad heeft zich in de discussie met de ondernemer dus zeer actief opgesteld. Maar pas in maart 2017 heeft de ondernemingsraad zich op het instemmingsrecht beroepen en aangekondigd naar de rechter te gaan omdat het besluit van Apple om de voornaam te vermelden nietig zou zijn. Apple heeft zich toen op het standpunt gesteld dat er geen sprake zou zijn van een wijziging van een regeling omtrent het verwerken van persoonsgegevens. Bovendien zou de termijn om de nietigheid in te kunnen roepen zijn verstreken.

De kantonrechter is het met de ondernemingsraad eens: het bestreden besluit is wél instemmingsplichtig. De wijziging van de enquête door het vermelden van voornamen is een regeling omtrent het verwerken van persoonsgegevens. Bovendien is de enquête geschikt voor waarneming van of controle op het gedrag of prestaties van de medewerkers. Winst voor de ondernemingsraad.

Maar dan gaat het alsnog mis voor de ondernemingsraad. De ondernemingsraad had de nietigheid namelijk binnen een maand nadat Apple haar besluit is gaan uitvoeren moeten inroepen. De ondernemingsraad is dus veel te laat en staat alsnog met lege handen. Het verweer van de ondernemingsraad dat hij jong en onervaren is en Apple de ondernemingsraad er nadrukkelijk op had moeten wijzen dat zij haar besluit had genomen en de maandtermijn daarom was gaan lopen, houdt geen stand. Het lag op de weg van de ondernemingsraad om zijn positie veilig te stellen, aldus de kantonrechter.

Het voeren van constructief overleg tussen ondernemingsraad en ondernemer is uiteraard cruciaal voor een goede bedrijfsvoering en goede verhoudingen. De ondernemingsraad moet daarnaast echter volledig op de hoogte zijn van de inhoud van de wet en de termijnen die gelden. Is de ondernemingsraad dat niet, dan staat hij alsnog met lege handen.

Recente berichten
  • 11 mei 2021

    INPLP article May 11, 2021

    Wouter Huisman
    Bob Cordemeyer
    Fine of €475,000 for Booking.com reporting data breach 22 days to late. According to a press release of April 6 the Dutch Data Protection Authority (Autoriteit Persoonsgegevens) imposed a €475,000 fine on Booking.com because the company took too long to report a data breach to the DPA into compliance with Article 33 GDPR.
    Lees verder
  • 13 april 2021

    Het doolhof van de wet- en regelgeving op het gebied van de zieke werknemer: deel 1.

    Marion Hagenaars
    Wie bepaalt: de bedrijfsarts of het UWV? Verzuimbegeleiding en re-integratie De werkgever is verantwoordelijk voor de verzuimbegeleiding en re-integratie van de zieke werknemer. De werknemer is verplicht om aan zijn re-integratie mee te werken. In de Arbeidsomstandighedenwet is bepaald dat de werkgever zich hierbij moet laten bijstaan door een gecertificeerde arbodienst of bevoegde bedrijfsarts. De
    Lees verder
  • 17 februari 2021

    440,000 EUR fine for Dutch hospital OLVG for access by unauthorized personnel to medical records

    Bob Cordemeyer
    On 11 February 2021 the Dutch Data Protection Authority imposed a fine of EUR 440.000, = on Amsterdam hospital OLVG for having no sufficient measures in place to prevent access to medical records by unauthorized personnel and therefore infringing article 32 (1) GDPR. An investigation was started after the DPA received several complaints of potential violations.
    Lees verder

Plaats een reactie

Top