FAQ GDPR

Bescherming van de persoonsgegevens > FAQ GDPR

Met deze FAQ-lijst willen wij u eenvoudig en efficiënt informeren over diverse onderwerpen die te maken hebben met de GDPR-wetgeving. Volledigheid is niet ons doel: voor een betere leesbaarheid geven wij voorrang aan een beknopt overzicht, zonder diepgravende analyses. Maar als u een specifiek advies of meer informatie wenst, kunt u altijd terecht bij eloise.meert@icb-institute.be.

Hoe kan ik in een bedrijf camera's gebruiken en toch voldoen aan de GDPR-wetgeving?

Mensen filmen wordt beschouwd als het verzamelen van persoonsgegevens. Het is immers mogelijk om op filmbeelden mensen te identificeren. GDPR heeft geleid tot enkele wijzigingen in de wetgeving.

U dient een onderscheid te maken tussen camera's die alleen werknemers filmen en camera's die zowel werknemers als het publiek filmen. Verschillende wetten en voorschriften zijn hierop van toepassing:

  • CAO nr. 68 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de camerabewaking op de arbeidsplaats;
  • De Europese Algemene Verordening Gegevensbescherming (AVG), ook wel GDPR genoemd;
  • De wet tot regeling van de plaatsing en het gebruik van bewakingscamera's van 21 maart 2007, bijgewerkt en gepubliceerd op 31/08/2018.

Hoe houdt u rekening met al deze wetten en voorschriften? Wij proberen u wegwijs te maken.

Camera's die alleen maar werknemers filmen op de werkplek

Als de camera's alleen maar werknemers filmen, dient de werkgever de voorschriften van CAO nr. 68 en van de GDPR na te leven.

Het begrip "werkplek" wordt niet omschreven in de CAO. Wij denken dat dit in ruime zin moet worden begrepen, dus ook de videobewaking van een chauffeur in een bus of autocar.

Videobewaking op de werkplek is toegelaten als een aantal voorwaarden vervuld zijn:

  • De controle moet gebeuren voor legitieme doeleinden: deze doeleinden worden door de wet bepaald. Het moet gaan om:
  • het verzekeren van de veiligheid en gezondheid van de werknemers;
  • de bescherming van de goederen van de onderneming;
  • de controle van het productieproces;
  • de controle van de arbeid van de werknemers. Let op: er mogen geen camera's worden gebruikt om beslissingen en evaluaties betreffende een werknemer te rechtvaardigen.
  • De controle moet in verhouding tot het doel zijn: de bewaking moet een van de bovenstaande doelen nastreven en mag niet buitensporig zijn.
  • De controle moet transparant zijn: de werkgever moet onder andere meedelen of de beelden al dan niet bewaard worden, hoe lang ze bewaarde worden, hoeveel camera's er waar staan, wanneer ze functioneren, welke rechten de werknemers hebben, ... Als de arbeid wordt gecontroleerd (4e legitiem doel) dan moeten de bewakingskenmerken in het arbeidsreglement worden vermeld.

Sinds GDPR van kracht is, moet ook de verwerking "camerabewaking" worden vermeld in het Register van de Gegevensverwerkingen (bekijk ons model). Dit vervang de aangifteplicht bij de Privacycommissie (die ondertussen de Gegevensbeschermingsautoriteit is geworden). GDPR verplicht de werkgever om te waken over de vertrouwelijkheid van de verwerkte gegevens en om de werknemer toegang te geven tot de gegevens die op hem of haar betrekking hebben.

Camera's die werknemers en klanten, bezoekers, leveranciers, ... filmen

In deze situatie dient men rekening te houden met CAO nr. 68, GDPR en de camerawet. Voor de naleving van CAO nr. 68 verwijzen wij naar de bovenstaande uiteenzetting.

U dient dan de volgende verplichtingen na te komen:

  • U dient de camera elektronisch aan te geven bij de politie via de website www.aangiftecamera.be. U dient elke bewaakte plek te registreren en deze registratie jaarlijks te bevestigen. Omdat dit een nieuwe maatregel is, geldt een overgangsperiode van 2 jaar. De aangiften moeten in elk geval vóór 25 mei 2020 gebeuren.
  • U dient een register van de beeldverwerkingen bij te houden. Gebruik hiervoor het model dat wij op onze website aanbieden, maar u dient er bepaalde informatie aan toe te voegen.
  • U dient een pictogram aan te brengen dat aangeeft dat er camerabewaking plaatsvindt. Op de pictogrammen moet ook deze informatie staan (aangepast na de invoering van GDPR):
  • "Camerabewaking - Wet van 21 maart 2007"
  • De naam van de natuurlijke persoon of de rechtspersoon die verantwoordelijk is voor de verwerking. Dit is de persoon die heeft beslist om bewakingscamera's te plaatsen en de doeleinden ervan heeft vastgelegd. Meestal is het de werkgever.
  • Het postadres en eventueel het e-mailadres of het telefoonnummer waarop de verantwoordelijke voor de verwerking of zijn vertegenwoordiger bereikt kan worden. De gefilmde personen moet een middel hebben om de verantwoordelijke voor de verwerking te bereiken om hun rechten uit te oefenen.
  • Eventueel de gegevens van de Data Protection Officer (DPO of functionaris voor gegevensbescherming).
  • Eventueel de website van de verantwoordelijke voor de verwerking, waar de betrokken personen alle informatie over de beeldverwerking door middel van bewakingscamera's kunnen raadplegen.
  • Let op! De bestaande pictogrammen moeten vóór 11 december 2018 aan de nieuwe reglementering worden aangepast.
  • De gegevens mogen slechts bewaarde worden als ze relevant zijn om het bewijs te leveren van nadelige feiten of gevolgen van een inbreuk of als ze de mogelijkheid bieden om de auteur van een inbreuk, een getuige of een slachtoffer te identificeren. Andere beelden, die als niet-relevant worden beschouwd, mogen slechts één maand worden bewaard.

Hoe vul ik het verwerkingsregister in als ik bewakingscamera's gebruik?

Vroeger hield de Privacycommissie een openbaar register bij van alle camera's. Nu bepaalt de wet dat de verantwoordelijke van het videobewakingssysteem (meestal de werkgever) een schriftelijk register moet bijhouden met de verwerkingsactiviteiten van de camerabeelden. Hij dient dit register op verzoek te tonen aan de politie of de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).

U vindt een model van dit register op onze website, in het gedeelte "Bescherming van persoonsgegevens". Gebruik dit model voor de verwerking van de beelden van een bewakingscamera, maar voeg er de volgende informatie aan toe:

  • De wettelijke basis voor de verwerking: De wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's;
  • Over welke soort plek het gaat: een open of gesloten plek (al dan niet toegankelijk voor het publiek) + adres;
  • Een technische beschrijving van de camera's: vaste camera's (al dan niet tijdelijk) of mobiele camera's, technische beschrijving van de camera's (model, merk, resolutie, ...), plaats van de camera's als het vaste camera's zijn;
  • Als het tijdelijke of mobiele camera's betreft: beschrijving van de gebruiksperimeter van de camera's en de gebruiksperiode (uren van gebruik);
  • De manier waarop u informeert over de verwerking: aangifte aan de politie, reglementair pictogram;
  • De verwerkingsplaats: u dient te vermelden waar de beelden worden bekeken en/of bewaard;
  • Het feit of de beelden in real time worden bekeken: als iemand permanent de plek bewaakt, vermeld dan hoe dit is georganiseerd (wie? wanneer? waar?).

Wat zegt GDPR over foto's die van werknemers worden genomen?

Het gebeurt dat een werkgever foto's van zijn werknemers neemt, voor badges, een "who is who" in het bedrijf, tijdens bedrijfsevenementen, bij ontvangst van derden op het bedrijf.

Ook vóór GDPR werd ingevoerd moesten mensen hun toestemming geven voor het gebruik dat er van foto's van hen werd gemaakt. Oude rechtspraak bepaalde dat als iemand voor een foto poseerde, hij impliciet had ingestemd met het latere gebruik ervan. Deze rechtspraak geldt niet langer, omdat GDPR nu eist dat toestemming nu vrij, specifiek, eenduidig en geïnformeerd moet zijn. Stilzwijgende toestemming bestaat dus niet meer! De legitieme belangen kunnen nog voorrang krijgen op de belangen van de gefotografeerde persoon, maar de foto mag dan alleen voor deze legitieme belangen worden verwerkt.

Wenst u meer te weten over de verschillende mogelijke rechtsgronden voor de verwerking van gegevens? Raadpleeg dan ons document met uitleg in het gedeelte "Bescherming van persoonsgegevens".

Hoe gebruikt u deze twee rechtsgronden correct?

De toestemming

De toestemming moet bewezen kunnen worden. Er moet dus een spoor van worden bewaard. De werkgever dient te voorzien in een specifieke, geïnformeerde toestemmingsverklaring, ondertekend of elektronisch aanvaard (aan te kruisen vakje), die vermeldt waarom de foto wordt genomen en verwerkt.

De Gegevensbeschermingsautoriteit (GBA) gaat ervan uit dat de toestemming de meest geschikte rechtsgrond is voor foto's die zij "nice to have" noemt. Denk aan foto's die op een website worden gepubliceerd om klanten te laten zien wie hun contactpersoon is, foto's die worden genomen om goede werkrelaties te bevorderen (bijvoorbeeld een foto van een chauffeur die jarig is in de vestiaire/kantine, foto's van een teambuilding-evenement die collega's later onder elkaar delen, een foto van een chauffeur die wordt verstuurd opdat een groep die hij moet ophalen hem zou herkennen). Deze foto's zijn niet strikt noodzakelijk, de werkgever heeft ze niet tot elke prijs nodig, maar gebruikt ze eerder om een aangename werkomgeving te creëren, de samenhang van de groep te verbeteren.

Legitieme belangen

In dit geval dient de werkgever minstens deze informatie te leveren: waarom werd de foto genomen, hoe lang wordt hij bewaard, hoe wordt hij opgeslagen enz. In dat geval mag de persoon niet weigeren om gefotografeerd te worden.

Bovendien moet de werkgever in staat zijn om te bewijzen dat zijn belangen voorrang hebben.

Dergelijke situaties zijn zeer beperkt in aantal. Wij denken bijvoorbeeld aan een foto op een badge om de veiligheid in het bedrijf te verzekeren. De GBA noemt deze foto's "need to have". In deze situatie heeft de veiligheid in het bedrijf voorrang op de belangen van de gefotografeerde persoon. De werkgever heeft dan echt een foto nodig om zijn doelstelling - veiligheid - te kunnen bereiken.