Nieuws & Blogs – Privacy jurisprudentieblog september 2020

0
448

Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand september op een rij.  

1. Docente schrijft boek over collega’s en studenten

Een docente werkzaam bij een ROC mbo-school heeft een boek geschreven over haar ervaringen met het onderwijs op deze school. Na het uitbrengen van het boek voelden meerdere collega’s zich niet meer prettig in de samenwerking met de docente omdat in het boek letterlijke citaten uit eerdere gesprekken op de werkvloer duidelijk te herleiden zijn. Het ROC vindt onder meer dat dit niet in lijn is met de privacywetgeving en dat de docente niet integer heeft gehandeld. Ze wordt geschorst. Hier is de docente het niet mee eens. Uiteindelijk stapt het ROC naar de rechter om de arbeidsovereenkomst te kunnen ontbinden. 

De kantonrechter stelt dat het beginsel van recht op vrijheid van meningsuiting ook geldt binnen de arbeidsverhouding, maar dat dit niet afdoet aan de verplichting tot loyaliteit en discretie die daarbij op de docente rust. Ook al heeft ze in haar boek zowel het ROC als haar leidinggevenden en collega’s niet met naam en toenaam genoemd, dan nog staat voldoende vast dat zij vertrouwelijke informatie met betrekking tot het ROC en informatie die collega’s aan haar hebben verstrekt, naar buiten heeft gebracht zonder hierover vooraf contact te hebben gehad met de betrokkenen. Dit heeft zij op zodanige wijze gedaan dat dit weliswaar niet voor iedere willekeurige lezer, maar in ieder geval voor een groot aantal lezers, eenvoudig herleidbaar is tot het ROC. Daarmee heeft de docente verwijtbaar jegens het ROC en een deel van haar medewerkers gehandeld. Uiteindelijk heeft dit volgens de rechtbank gezorgd voor een dermate verstoorde arbeidsverhouding dat de arbeidsovereenkomst ontbonden dient te worden.

2. Verzoek verwijdering van gerechtelijke uitspraak

De rechtbank publiceert haar gerechtelijke uitspraken altijd op www.rechtspraak.nl. Er gelden voor de publicatie van een rechterlijke beslissing anonimiseringsrichtlijnen. In deze zaak werd door verzoekster verzocht een uitspraak van de website te verwijderen op grond van het recht op vergetelheid. De rechtbank Amsterdam geeft echter aan dat een juridische analyse weliswaar persoonsgegevens kan bevatten, maar niet op zichzelf een persoonsgegeven vormt. Dit blijkt ook uit de omstandigheid dat de inhoud van de rechterlijke beslissing zich niet voor controle op de juistheid daarvan en voor correctie leent. De beschikking valt dus niet onder het toepassingsbereik van de AVG.  

De rechtbank geeft ook aan dat áls verzoekster al redelijkerwijs identificeerbaar is voor enig ander persoon, een beroep op artikel 17 AVG geen wissing van de daarin genoemde gegevens kan verkrijgen, omdat de rechtbank namelijk met de publicatie voldoet aan haar verdragsrechtelijke en grondwettelijke taak dat rechterlijke uitspraken in het openbaar moeten plaatsvinden. Verzoekster heeft hierdoor geen recht op gegevenswissing.

3. Vergoeding wegens privacyschending afgewezen

In deze hoger beroepszaak stond een werknemer werkzaam als servicetechnicus tegenover zijn werkgever Trigion.  Een servicetechnicus dient wekelijks een urenstaat op te stellen van de verrichte werkzaamheden. De uren worden bijgehouden in de ‘Nemo-app’, waarbij een servicetechnicus op start drukt als hij zijn werkzaamheden bij de klant begint en bij voltooiing daarvan de klant een handtekening laat zetten. De app registreert dan de gewerkte tijd. Daarnaast zit er in elke bedrijfsbus een GPS-tracker, en kan dus bijgehouden worden waar een servicetechnicus zich bevindt. 

Trigion ontdekte dat er een verschil was tussen de werktijden van de Nemo-app en de gegevens afkomstig van de GPS-tracker uit de bus. Zo was de werknemer te vinden op plaatsen waar geen klanten zijn gevestigd en waar hij dus niet hoorde te zijn op dat moment. Uiteindelijk besloot Trigion de werknemer dan ook op non-actief te zetten. Maar mocht de werkgever de gegevens uit de bus wel zomaar uitlezen en vervolgens gebruiken tegen de werknemer?  

Het gerechtshof geeft aan dat in het privacybeleid van de werkgever een protocol staat over volgsystemen waarin het gebruik van de GPS-trackers is geregeld, waarbij alle regels inzichtelijk zijn voor de werknemers. Trigion heeft dit beleid ook gehanteerd in dit specifieke geval. Daarnaast stuit het gebruikmaken van deze volggegevens om de urenstaten van de werknemer te controleren naar het oordeel van het hof niet op bezwaren. De urenstaten zijn nu juist voor Trigion bestemd. Op de urenstaten staan ook slechts de gewerkte uren vermeld. Er is wel een inbreuk geweest op de privacy van de werknemer, maar die inbreuk is beperkt geweest, was noodzakelijk en stond in verhouding tot het belang van Trigion (het controleren van de urenstaten van de werknemers). Niet valt in te zien op welke andere minder vergaande wijze Trigion had kunnen onderzoeken of haar vermoedens juist waren. Kortom, gelet op de aanleiding voor het onderzoek en de wijze waarop het is uitgevoerd, was de inbreuk gerechtvaardigd. Het hof ontbindt uiteindelijk het arbeidscontract met de werknemer vanwege ernstig verwijtbaar handelen.

4. Afwijkende uitspraken BKR-registratie

In deze zaak had de verzoekster afspraken met de ING-bank gemaakt over haar kredietlimiet. Wanneer verzoekster de limiet te boven gaat en vervolgens geen geld aanvult, draagt de ING haar dossier over aan een incassobureau. Dit incassobureau waarschuwt dat wanneer de openstaande vordering niet op tijd wordt voldaan aan de ING, zij de vordering zullen melden bij het BKR.

Uiteindelijk wordt de vordering door verzoekster voldaan, maar staat de betalingsachterstand intussen wel geregistreerd bij het BKR en zal deze nog vijf jaar na de aflossingsdatum geregistreerd blijven staan. Verzoekster maakt hiertegen bezwaar. Zij stelt onder andere dat er een belangenafweging gemaakt dient te worden op grond van artikel 21 lid 2 AVG, omdat de registratie op grond van het algemeen belang of het gerechtvaardigd belang heeft plaatsgevonden. De ING betwist dit en stelt dat de registratie op grond van de wettelijke verplichting die voortvloeit uit de Wet financieel toezicht heeft plaatsgevonden. Het hof gaat hier niet in mee en stelt dat er geen sprake is van een wettelijke verplichting voor deze vorm van gegevensverwerking. De overige grieven van verzoekster houden geen stand en ING wordt in het gelijk gesteld.

Vergeleken met de uitspraak die het gerechtshof ’s-Hertogenbosch vorige maand in een vergelijkbare zaak maakte is deze overweging opvallend. Daar oordeelde de rechter dat kredietregistratie door financiële instellingen (banken) wel als wettelijke verplichting aan te merken valt en dat de verzoeker daarom geen recht op bezwaar uit artikel 21 AVG toekomt.

Benieuwd wat er in oktober gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!


Deze blog is geschreven in samenwerking met Valeria Brussé, stagiaire bij ICTRecht.

Source link

Vorig artikelNieuws – Hands-on: de implementatie van DANE voor Postfix
Volgend artikelSIDN Labs – Work in Progress: the CONCORDIA Platform for Threat Intelligence