Op 5 september 2017 heeft het Europese Hof van de Rechten van de Mens (EHRM) een belangrijke beslissing gewezen over het recht op privacy op de werkvloer. Het EHRM oordeelde dat communicatie van werknemers onder omstandigheden mag worden gemonitord. Wel moeten werknemers goed worden geïnformeerd.
Privé chatten met bedrijfsmiddelen
Bogdan Bărbulescu werkt sinds 1 augustus 2004 als sales engineer bij een bedrijf in Boekarest. Op verzoek van zijn werkgever maakt bij gebruik van een zakelijk Yahoo Messenger om te chatten met klanten. Op 13 juli 2007 wordt Bărbulescu op het matje geroepen bij zijn baas. Hij krijgt te horen dat zijn gebruik van Yahoo Messenger is gemonitord en dat er bewijs is dat hij bedrijfsmiddelen heeft gebruikt voor privé doeleinden, hetgeen in strijd is met het interne beleid. Bărbulescu ontkent eerst, maar krijgt dan van zijn werkgever een 45-pagina’s tellend transcript in handen van de berichten die hij heeft ontvangen en verzonden met zijn Yahoo Messenger accounts. Hieruit blijkt dat Bărbulescu zijn zakelijke Yahoo Messenger account ook heeft gebruikt om privé berichten te versturen naar zijn broer en verloofde. Op 1 augustus 2007 wordt Bărbulescu ontslagen. Bărbulescu vecht zijn ontslag aan bij de Roemeense rechter, maar vangt bot. Uiteindelijk komt de zaak Bărbulescu terecht bij het EHRM.
Geen Europese consensus
Het EHRM overweegt dat het recht op privé leven en correspondentie, zoals vastgelegd in artikel 8 EVRM, ook bestaat in een professionele setting. Er is alleen weinig consensus in Europa waar het gaat om privacy op de werkvloer. Slechts in een aantal landen bestaat specifieke wetgeving op dit gebied. Ook denken de verdragsstaten verschillend over de voorwaarden voor monitoring door werkgevers. Volgens het EHRM hebben de verdragsstaten een ruime beoordelingsvrijheid bij het bepalen of er behoefte is aan wetgeving dat het recht op privé leven op de werkvloer reguleert.
In Nederland wordt privacy op de werkvloer hoofdzakelijk gereguleerd door de Wet Bescherming Persoonsgegevens. Volgens de Autoriteit Persoonsgegevens mag een werkgever privégebruik van e-mail en internet onder werktijd niet helemaal verbieden, maar wel beperken en naleving van die beperkingen en voorschriften controleren. Ook kan een bedrijf gehouden zijn de Ondernemingsraad te betrekken.
Belangenafweging
De vrijheid van landen om zelf het nationale beleid te bepalen is niet onbegrensd. Bij de beoordeling of bepaalde maatregelen toelaatbaar zijn moet een afweging worden gemaakt tussen de belangen van de werkgever en die van de werknemer. De belangen van de werkgever, zoals die door het EHRM worden erkend, bestaan uit de mogelijkheid van een onderneming om een soepele bedrijfsvoering mogelijk te maken en mechanismes in te zetten om te controleren of werknemers hun taken met gepaste zorgvuldigheid uitvoeren. Het belang van de werknemer bestaat uit het recht op privacy.
Het EHRM noemt voorts een aantal specifieke factoren die moeten worden meegenomen bij de afweging van belangen. Een van deze factoren is of de werknemer vooraf duidelijk is gewezen op de mogelijkheid van de werkgever om monitoringsmaatregelen te treffen, en de aard en de impact van die maatregelen. Volgens het EHRM houdt die informatieplicht ook in dat een werkgever van tevoren moet waarschuwen dát monitoring zal worden ingezet, met name wanneer de inhoud van correspondentie kan worden ingezien. Het EHRM komt tot de conclusie dat de Roemeense rechters hier onvoldoende rekening mee hebben gehouden, en mede op basis daarvan dat artikel 8 EVRM is geschonden.
Controleer het bestaande beleid!
Uit deze uitspraak kunnen een aantal lessen worden getrokken. Allereerst dat privacy op de werkvloer niet overal hetzelfde betekent. Verdragsstaten hebben de vrijheid om nationaal beleid te ontwikkelen. Daarbij mogen ook eisen of beperkingen worden gesteld aan het gebruik van bedrijfsmiddelen voor privé doeleinden, en aan de inzet van handhavingsinstrumenten, zoals monitoring, door de werkgever. Voor internationale bedrijven betekent dit dat zij het interne personeelsbeleid in ieder geval goed moeten afstemmen op lokale wetgeving. Dit is met name een aandachtspunt wanneer dergelijk personeelsbeleid centraal, bijvoorbeeld op global niveau, wordt vastgesteld. Een tweede les is dat, waar monitoringsinstrumenten (kunnen) worden ingezet, werknemers daarover goed moeten worden geïnformeerd. Laat deze uitspraak dus aanleiding zijn om te controleren of het huidige beleid nog volstaat. Deze aandachtspunten moeten tenslotte ook worden meegenomen in de aanloop naar GDPR compliance.