Introductietekst I. Inleiding Hoewel de Commissie zich reeds verschillende malen uitgesproken heeft over het vraagstuk van controle op het internet- en emailgebruik op de werkplaats, acht ze de tijd gekomen om zich nog eens uit eigen beweging ten gronde uit te spreken. Wat volgt is een introductietekst over de problematiek van de toegang door werkgevers tot de informaticatools die gebruikt worden door hun werknemers. Voor een meer uitgebreide en juridische benadering wordt verwezen naar de bijlagen, inzonderheid naar het integrale rapport. De bedoeling is dat deze introductietekst met zijn bijlagen wordt onderworpen aan een publieke consultatie, teneinde observaties, bemerkingen, suggesties of kritieken te verzamelen bij de lezer, die indien ze gegrond worden bevonden door de Commissie, naderhand kunnen opgenomen worden in de definitieve teksten die de Commissie ter zake zal uitbrengen. Inhoudelijk gaat de aandacht vooral uit naar de patronale kennisname van elektronische communicaties van werknemers die gevormd worden door e-mail en internetverbindingen op het werk, al dan niet voor professionele doeleinden. Het kan daarbij gaan over de communicaties zelf (namelijk de inhoud van een e-mail of een bezochte webpagina) als over de elektronische communicatiegegevens (adressen van verzenders en ontvangers, uur van verzending/ontvangst of verbinding, adressen van bezochte websites). Er wordt vooreerst gesteld dat patronale toegang tot elektronische communicatie en elektronische communicatiegegevens van werknemers niet enkel een kwestie van controle op die werknemers betreft, maar tevens het beheer en de organisatie van de activiteiten van de werkgever aanbelangt. Zo communiceert de werknemer in uitvoering van zijn arbeidscontract elektronisch met derden via het informaticasysteem van zijn werkgever. Het resultaat van het geleverde werk dat tot stand kwam via gebruik van de informaticatools, waaronder het emailsysteem van de werkgever, moet uiteraard aan die laatste worden afgeleverd. De werkgever zou deze informatie moeten kunnen ontvangen van de betrokkene of moeten kunnen opzoeken ten einde er kennis van te nemen om de continuïteit van de dienstverlening en de goede werking van de onderneming/het openbaar bestuur te verzekeren, inzonderheid in geval van afwezigheid, overlijden of vertrek van de werknemer. Toegang tot gegevens betreffende een werknemer kan via het werkstation dat gebruikt wordt door die werknemer als via andere dragers waarop de gegevens worden bewaard (servers, opslagmedia,...) en impliceert ook het gebruik ervan (afdruk op papieren drager, doorzending aan een andere bestemmeling,...), en dit ongeacht het beoogde doeleinde (beheer of controle). Ondanks zijn verplichting de persoonlijke levenssfeer van werknemers daarbij te eerbiedigen, moet de werkgever niettemin in staat zijn/blijven zijn legitieme belangen doelmatig te vrijwaren. De bescherming van de persoonlijke levenssfeer van de werknemers op de werkplek moet weliswaar gewaarborgd worden, maar niet op een wijze die onnodige beperkingen meebrengt voor de realisering van de rechten en belangen van de werkgever. De goede werking van de onderneming/het openbaar bestuur moet verzekerd blijven. II. Juridisch kader
Er wordt gewezen op de interferentie van verschillende wetsbepalingen waaraan de toelaatbaarheid van de patronale kennisname van elektronische communicatie en elektronische communicatiegegevens moet worden getoetst. De Commissie benadrukt enerzijds dat, voor een juist begrip, het onontbeerlijk is deze bepalingen in hun geheel (en dus gezamenlijk) te lezen en zet zich anderzijds af tegen een interpretatie van dit wettelijke arsenaal waardoor patronale toegang uiteindelijk als onmogelijk/onwettig wordt beschouwd. Zoniet zou dit kunnen leiden tot meer verdoken en onbeheerste monitoringpraktijken, wat uiteindelijk de bescherming van de persoonlijke levenssfeer van werknemers helemaal niet dient. Eerder ingenomen standpunten, zoals bijvoorbeeld in het basisadvies van 3 april 2000 van de Commissie, worden opnieuw onderzocht door de toepassing van al die relevante normen, met inbegrip van de dwingende bepalingen uit het arbeidsrecht, te beoordelen in het licht van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens . Er wordt eraan herinnerd dat privacy inzake gegevensverwerking wordt beschermd door artikel 8 van het Europees Verdrag tot bescherming van de Rechten van de Mens, door Europese richtlijnen (de Europese richtlijn nr. 95/46 van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en de Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie) en door het interne Belgische recht (artikel 22 van de Grondwet, artikel 314bis van het Strafwetboek (Sw.) en de artikelen 124 en volgende van de wet van 13 juni 2005 betreffende de elektronische communicatie (WEC)). Het telecommunicatiegeheim valt tevens onder de bescherming van de persoonlijke levenssfeer en inzake het opslaan en het verwerken van persoonsgegevens op het vlak van de telecommunicatie is ten slotte de WVP van toepassing. Het is bovendien een uitgemaakte zaak dat deze rechtsbescherming tevens doorwerkt in de arbeidsverhoudingen. Anderzijds zijn er ook de werkgeversrechten of –belangen (recht op gezagsuitoefening, tuchtrecht, eigendomsrecht, risico op aansprakelijkheden,...) die mee in de balans moeten opgenomen worden. Het recht op privacy is immers niet absoluut en de bijzondere situatie van de gezagsrelatie tussen werkgever en werknemer zal zeker in acht moeten worden genomen. De privacyverwachtingen (verwachtingen die iemand redelijkerwijze heeft omtrent de mate van inmenging in zijn privéleven) van de werknemers op het werk zijn evident minder groot dan deze thuis. Vervolgens wordt gesteld dat het recht op privacy moet worden uitgeoefend binnen het normdoel van het rechtsstelsel (zelfontplooiing). Het recht op bescherming van privacy is een functioneel recht en het beroep erop mag niet leiden tot straffeloosheid. Daarna worden de specifieke mogelijke uitzonderingen op de principiële geheimhouding van elektronische communicatie tussen correspondenten en elektronische communicatiegegevens met betrekking tot deze correspondenten aangekaart. De toestemming van alle personen betrokken bij elektronische communicatie (afzender en bestemmeling bij emailverkeer) is een mogelijke uitzondering, al wordt tegelijk beschouwd dat het moeilijk is voor een werkgever om zowel de toestemming te bekomen van deelnemers aan de communicatie buiten de onderneming als de vrije toestemming van de in ondergeschikt verband werkende deelnemers binnen de
onderneming. De Commissie gaat er, wat dit laatste betreft, zelfs van uit dat een individuele toestemming van de werknemer, wegens de ongelijke machtsverhouding, niet als een echte toestemming kan worden beschouwd en dus niet de werkelijke basis kan vormen om in te grijpen op diens communicatiebescherming. Specifieke uitzonderingen op de geheimhouding van elektronische communicatie, zoals deze om de goede werking van het bedrijfsnetwerk na te gaan, de ‘callcenteruitzondering’ en de uitzondering om zakelijke communicatie te registreren, zijn eveneens mogelijk, maar deze laten uiteindelijk onvoldoende mogelijkheden aan de werkgever om er een algemene controle op het e-mail- en internetgebruik in de onderneming op te baseren. De communicatiebescherming van artikel 314bis Sw. en artikel 124 WEC is ten slotte niet van toepassing als de wet toelaat of oplegt erop in te grijpen. Wanneer een werknemer door misbruik van het computersysteem schade aanricht aan een derde, kan de werkgever hiervoor wettelijk aansprakelijk worden gesteld. Tegenover de objectieve, foutloze aansprakelijkheid van de werkgever, moet een zeker controlerecht van de werkgever staan. Het gezagsrecht van de werkgever, zoals neergelegd in de wet van 3 juli 1978 betreffende de arbeidsovereenkomsten voor de private sector of in de rechtspositieregeling van ambtenaren voor de publieke sector, kan als een wettelijk grondslag dienen om bepaalde controlehandelingen te stellen, voor zover die dan gebeuren conform de normaal gangbare bedrijfsvoering (als een redelijk en voorzichtige werkgever) en conform andere toepasselijke relevante wettelijke (zoals de WVP, en de wet van 8 april 1965 tot instelling van de arbeidsreglementen), reglementaire bepalingen (zoals het Koninklijk Besluit van 27 augustus 1993 betreffende het werken met beeldschermapparatuur) en bepalingen uit bepaalde collectieve arbeidsovereenkomsten (zoals CAO nr. 81 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische online-communicatiegegevens, CAO nr. 9 van 9 maart 1972 houdende ordening van de in de Nationale Arbeidsraad gesloten nationale akkoorden en collectieve arbeidsovereenkomsten betreffende de ondernemingsraden en CAO nr. 39 van 13 december 1983 betreffende de voorlichting en het overleg inzake de sociale gevolgen van de invoering van nieuwe technologieën). Indien de tussenkomst van de werknemer in de elektronische communicatie gebeurt in functie van het afgesproken werk en in naam van de werkgever en deze tussenkomst uitdrukkelijk of minstens ondubbelzinnig is voor zowel hemzelf als voor de correspondent, stelt zich evenmin een wettelijk obstakel voor de ingreep in de communicatiebescherming. Een werkgever neemt dan kennis van de inhoud van gezonden of ontvangen e-mails die voor hem bestemd zijn of waarvan hij de afzender of ontvanger is via tussenkomst van een werknemer. WVP Wat meer specifiek de WVP betreft worden de toelaatbaarheids- en rechtmatigheidsvoorwaarden geschetst waaronder zowel de publieke of private werkgever persoonsgegevens met betrekking tot hun werknemers (met inbegrip van hun elektronische communicatie of elektronische communicatiegegevens) kunnen verwerken. Er volgt inzonderheid een bespreking van de 3 basisbeginselen uit deze wet, waarvan de naleving essentieel wordt geacht voor de bescherming van de persoonlijke levenssfeer van werknemers bij de verwerking van hun persoonsgegevens: het finaliteitsbeginsel, het proportionaliteitsbeginsel en het transparantiebeginsel.
Het finaliteitsbeginsel impliceert dat de doeleinden die een verwerking van persoonsgegevens noodzaken welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Een eventuele verdere verwerking van persoonsgegevens dient steeds verenigbaar te zijn met het oorspronkelijk doeleinde (rekening houdend met de redelijke verwachtingen van de datasubjecten en rekening houdend met eventuele wetgeving). Het proportionaliteitsbeginsel impliceert dat de verwerking, uitgaande van het doeleinde dat wordt beoogd, toereikend, ter zake dienend en niet overmatig is. De inmenging in de persoonlijke levenssfeer van het datasubject moet strikt beperkt blijven tot wat noodzakelijk is om de vooropgestelde finaliteit te bereiken. Het belang van de betrokkene die aanspraak maakt op bescherming uit hoofde van de WVP moet voldoende gevrijwaard blijven. Het transparantiebeginsel impliceert dat de personen die worden onderworpen aan de verwerking worden ingelicht over het doel van de verwerking en wie het nastreeft. Zij kunnen inzage krijgen in hun verwerkte gegevens en in principe wordt voor elke geautomatiseerde verwerking een aangifte gedaan bij de Commissie die deze publiek maakt. Inlichtingen worden gegeven via circulaires, het arbeidsreglement, de individuele arbeidsovereenkomst, de ICTpolicy… De vigerende wettelijke en conventionele bepalingen inzake informatie en consultatie van de werknemersvertegenwoordiging moeten worden gerespecteerd om de transparantie met betrekking tot het elektronisch toezicht te vergroten en de dialoog tussen de betrokken partijen te bevorderen. Deze 3 principes begrenzen weliswaar de mogelijkheden van de werkgever bij een patronale toegang tot en dus verwerking van elektronische communicatie(gegevens), maar deze verwerking is niettemin a priori toegelaten op basis van één van de gronden uit artikel 5 WVP en dit met het oog op de uitvoering van de specifieke verplichtingen en rechten van de werkgever met betrekking tot het arbeidsrecht. CAO nr. 81 Deze tekst, die juridisch enkel de private werkgever vat, spreekt de facto eigenlijk ook de publieke werkgever aan. Deze CAO doet immers niets anders dan de WVP - die ook geldt ten aanzien van de publieke werkgever te concretiseren voor de problematiek die ze wenst te reguleren, met name de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de patronale controle op hun elektronische online-communicatiegegevens. Hoewel voor sommigen juridisch niet helemaal onbesproken, bestaat de grote verdienste van deze CAO er in te schetsen hoe ver de werkgever mag gaan in zijn wettelijke permissie tot het controleren van elektroniche datacommunicatie omtrent werknemers en deze CAO heeft, minstens in de praktijk, zijn nut reeds bewezen of kan zijn nut bewezen. De bekommernis van CAO nr. 81 betreft in hoofdzaak het surfen en mailen door werknemers voor persoonlijke doeleinden. De CAO nr. 81 wil hieraan verhelpen, zowel preventief als curatief. Alleen al door het bestaan van CAO nr. 81, en dus de wetenschap dat werknemers die eraan zijn onderworpen kunnen gecontroleerd worden, gaat er een preventieve werking van uit en zullen het gros van de werknemers zich niet verliezen in een tomeloos privégebruik van de aangeboden internetfaciliteiten. CAO nr. 81 verbiedt de werkgever om permanent, zonder medeweten en onmiddellijk al op persoonsniveau het bestaan van privénetgebruik vast te stellen en te controleren. Maar meer dan vaststellen dat een werknemer erg veel private mails krijgt of verzendt, of erg veel surft op websites die
niets met het werk te maken (kunnen) hebben, kan de werkgever uiteindelijk niet op basis van de CAO nr. 81. CAO nr. 81 voorziet nl. een stapsgewijze controle: eerst het globaal controleren van op zich niet tot individuele personeelsleden herleidbare telecommunicatiedata en pas daarna desgevallend een individualisering (al dan niet op directe wijze, naargelang het beoogde doeleinde van de controle) van die gegevens -dit wil zeggen het toeschrijven van welbepaalde telecommunicatiedata aan een welbepaalde werknemer- bij detectie van anomalieën naar aanleiding van de globale controle. Op basis van deze CAO is evenwel geen individualisering van de inhoud van een elektronisch bericht mogelijk als de werknemer aanvoert dat het een privébericht betreft. Toch zou, weliswaar bij wijze van uitzondering, kennisname van de inhoud van een door een personeelslid ontvangen en/of verstuurde email en/of bezochte website mogelijk kunnen geacht worden op basis van andere regelgeving. In het overgrote deel van de gevallen zal de kennisneming van de inhoud echter niet eens noodzakelijk zijn: uit de transmissiegegevens zal de werkgever veelal reeds de niet-eerbiediging van de interne ICT-gebruiksregels kunnen aantonen. Dit maakt dat de inmenging in de persoonlijke levenssfeer van de personeelsleden zodoende tot een minimum kan worden beperkt. Het geheel van de supra aangehaalde wetsbepalingen staat geenszins de kennisname van het bestaan van bepaalde communicatiegegevens met betrekking tot werknemers in de weg. Zij vormen daarentegen een geheel gerechtvaardigd wettelijk obstakel tegen systemen voor exploratieve en algemene controlepraktijken, obscure of occulte systemen voor elektronische bewaking en meer in het algemeen tegen het buitensporig gebruik van de telecommunicatietechnologie die verder gaat dan wat voor de gebruikelijke bedrijfsvoering noodzakelijk is. Het systematisch en a priori willen afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van elektronische communicatiegegevens van geïdentificeerde of identificeerbare werknemers verdraagt zich inderdaad niet met het wettelijk dispositief. Er wordt dan ook besloten dat de werkgever er baat bij heeft de bovenstaande wettelijke voorwaarden, procedures en waarborgen op correcte wijze te implementeren en na te leven: de bewijsmiddelen naar aanleiding van de door hem gevoerde controles zullen dan normaal als rechtsgeldig worden aanzien. III. Gebruik van het (onrechtmatig verkregen) bewijs In het rapport kon evenmin onvermeld blijven dat er zich een tendens in de rechtspraak en de rechtsleer aftekent in de richting van een anders begrepen notie van privacy (op de werkvloer), mede onder invloed van de zgn. Antigoon-rechtspraak van het Hof van Cassatie. Deze onderstroom kan moeilijk genegeerd worden. Het betreft hier meer bepaald de kwestie van de regelmatigheid van bewijzen die verzameld werden in weerwil van de net vermelde toepasselijke bepalingen. Er wordt gewezen op het arrest van 14 oktober 2003. Een onrechtmatig verkregen bewijs moet slechts tot uitsluiting leiden bij miskenning van op straffe van nietigheid voorgeschreven vormvereisten, wanneer de bewijsverkrijging is aangetast door een gebrek waardoor de betrouwbaarheid ervan wegvalt of waardoor het recht op een eerlijk proces in gevaar wordt gebracht. In andere gevallen komt het de rechter toe een belangenafweging te doen alvorens het bewijs al dan niet uit te sluiten. De principes van de Antigoonrechtspraak hebben tegenwoordig ook al ingang gevonden bij de arbeidsrechtbanken en –hoven. Het feit dat bepaalde procedureregels met betrekking tot de privacy niet werden nageleefd kan dus rechtvaardigen dat bewijsstukken door de rechter worden geweerd, inzonderheid als de ernst van de inbreuk die de vaststelling mogelijk maakte duidelijk de begane onregelmatigheid overstijgt. IV. Aanbevelingen
Naast het rapport werden door de Commissie in een afzonderlijk document nog een aantal gedragsregels geformuleerd die voorbeelden of middelen vormen om rekening te houden met de WVP bij een patronale toegang tot elektronische communicatie of elektronische communicatiegegevens. Gezien de vraag naar wat al dan niet toelaatbaar is op de werkplaats van verscheidene factoren kan afhangen onder meer van de werkomgeving, de aard van de verantwoordelijkheden van de werkgever en de werknemer en de aard van het werk op zich, wordt er ter zake evenwel niets dwingend opgelegd. De belangrijkste aanbeveling die wordt geformuleerd is het afraden van het dubbel gebruik van het emailsysteem door werknemers (zowel professioneel als privé). Een dergelijke gesplitste opstelling leidt in de praktijk tot een werkbare en toepasbare regeling inzake toegang tot email van werknemers die niettemin tevens recht doet aan de privacy van die werknemers. Immers, indien de werkgever in zijn ICTpolicy heeft aangekondigd en opgelegd dat werknemers hun private e-mail verplicht via een persoonlijk e-mailadres (genre Hotmail) moeten laten verlopen, en niet via het e-mailadres dat hen ter beschikking werd gesteld om de professionele bezigheden te kunnen uitvoeren, dan mag de werkgever er in principe van uitgaan dat de informatie die zich bevindt in de professionele mailboxen van de werknemers ook professioneel, functioneel en bedrijfsmatig is. Daartoe heeft hij, op basis van zijn gezag als werkgever, toegang, ook wat de inhoud van die berichten betreft, teneinde de continuïteit van de dienstverlening en de goede werking van de onderneming/het openbaar bestuur te kunnen blijven verzekeren, inzonderheid in geval van afwezigheid, overlijden of vertrek van de werknemer. Een dergelijke toegang gebeurt dan overeenkomstig de basisvoorwaarden bepaald in de WVP: mits duidelijke en precieze informatie over de specifieke doeleinden van deze verwerking en mits de verwerking noodzakelijk en proportioneel is. Een dergelijke gesplitste opstelling komt elk van de partijen tegemoet in hun respectievelijke aanspraken. Enerzijds is er de waarborg in het voordeel van de werkgever om alle communicatiegegevens in principe te kunnen beschouwen als zijnde van professionele aard en daardoor voor hem vatbaar voor inhoudelijke toegang. Anderzijds is er de waarborg van de werknemer dat, ook op de werkplek, in principe een beperkte elektronische communicatievrijheid voor privédoeleinden mogelijk blijft (zoals Europese rechtspraak vereist) via het eigen emailadres, met inbegrip van de waarborg dat zelfs bij ongeoorloofde aanwending van dit communicatiemiddel, de controle van de werkgever in beginsel niet verder zal kunnen gaan dan het gebruik van de telecommunicatiegegevens, en dus niet de inhoud zelf van de elektronische berichten, als bewijs voor eventueel misbruik van toegelaten privécommunicatie en dit volgens de spelregels van de CAO nr. 81.