Op de website van een werkgever is vaak informatie over medewerkers terug te vinden. Elke slimme marketeer zal je dan ook vertellen dat mensen het liefst zakendoen met mensen in plaats van met bedrijven. Gezichten zijn dus heel belangrijk. Op 26 mei 2021 behandelde de Gegevensbeschermingsautoriteit een klacht van een ex-medewerker. De naam en de foto stonden namelijk nog steeds op de website van de ex-werkgever en dat terwijl de werknemer toch al meer dan twee maanden elders aan de slag was. Uiteindelijk duurde het tot acht maanden na het vertrek vooraleer de gegevens werden verwijderd. We bespreken deze uitspraak van de Gegevensbeschermingsautoriteit (GBA 62/2021 van 26 mei 2021).
Werkgever moet gegevens van ex-werknemer wissen
De Gegevensbeschermingsautoriteit benadrukt in de eerste plaats dat men bij de verwerking van persoonsgegevens steeds rekening moet houden met de basisbeginselen. Een werkgever kan gegevens van werknemers publiceren op basis van een specifiek en gedefinieerd doel. Dit noemen we de doelbinding. Persoonsgegevens mogen echter enkel worden bewaard voor zover ze voor dat doel noodzakelijk zijn. Eenmaal een werknemer niet meer bij een werkgever werkt, gaat het doel verloren en mag de werknemer de persoonsgegevens niet langer op zijn website publiceren.
Werkgever doet dit zelf of op vraag, maar in ieder geval voldoende snel
Moeten de gegevens dan op de dag van het vertrek van de website worden gehaald? Nee, volgens de Gegevensbeschermingsautoriteit heeft de werkgever wel degelijk een redelijke termijn om de gegevens zelf of op verzoek van de ex-werknemer te wissen. Als de ex-werknemer hierom verzoekt, moet de werkgever binnen een maand na de ontvangst van het verzoek informatie verstrekken over het gevolg dat aan het verzoek werd gegeven. Enkel in uitzonderlijke gevallen kan deze termijn worden verlengd. In de praktijk wordt er bij de beoordeling van dit alles rekening gehouden met de grootte van de onderneming, de functie van de werknemer, de context van het vertrek en de vraag of de werkgever de website zelf beheert. Het antwoord op deze vragen kan zowel een langere als een kortere behandeling rechtvaardigen.
In deze zaak heeft de werkgever de persoonsgegevens niet op eigen initiatief verwijderd. Hij heeft dit ook niet meteen na het verzoek van de werknemer gedaan, maar pas zes maand na het verzoek en acht maand na de uitdiensttreding. Verder blijkt dat er binnen het bedrijf geen procedure was om dit soort verzoeken te beheren. De Gegevensbeschermingsautoriteit bestempelde dit als buitensporig. Uiteindelijk besliste de Gegevensbeschermingsautoriteit om het bij een formele waarschuwing te houden.
Ook voor andere werkgevers geldt dat ze maar beter een procedure invoeren om gegevens van vertrekkende werknemers te wissen of om minstens adequaat te reageren op verzoeken van vertrokken werknemers.