< Terug naar overzicht

Telewerk in of een zakenreis naar een derde land: doorgifte van persoonsgegevens?

Nu de hybride werkomgeving een opmars lijkt te maken in vele ondernemingen, zullen werknemers mogelijk frequenter vanuit het buitenland telewerken. Wat is de impact van de wetgeving inzake privacy en gegevensbescherming als een werknemer telewerk verricht in of op zakenreis gaat naar een derde land dat niet in een passend beschermingsniveau voorziet? Maakt de toegang tot de databases van de werkgever in dat geval een doorgifte uit? Op welke wijze kan de werkgever de veiligheid van de verwerking van de persoonsgegevens door de werknemers vanuit een derde land garanderen?

Een doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER), de zogenaamde ‘derde landen’, is enkel toegestaan in de gevallen voorzien in Hoofstuk V van de AVG. Het gaat daarbij zowel over een ‘actieve’ doorgifte, als over een ‘passieve’ waarbij de gegevens vanuit een derde land toegankelijk zijn. Concreet is een dergelijke doorgifte enkel toegestaan als een van de volgende transfermechanismes voorhanden is: (a) indien er voor het derde land een adequaatheidsbesluit genomen werd door de Europese Commissie, waarbij deze bevestigt dat dit land een passend niveau van gegevensbescherming biedt (gelijkwaardig aan dit van de EU); (b) indien passende waarborgen, zoals bv. ‘standard contractual clauses’, ‘binding corporate rules’ of gedragscodes en certificering werden geïmplementeerd; (c) in geval van specifieke occasionele uitzonderingen van toepassing op de situatie.

De verwerkingsverantwoordelijke of verwerker die gegevens doorstuurt moet, overeenkomstig de aanbevelingen van het Europees Comité voor Gegevensbescherming, in samenwerking met de ontvanger in het derde land nagaan of het derde land een passend beschermingsniveau kan garanderen. Indien dat niet het geval is, moeten bijkomende waarborgen worden gegeven.

Indien een werknemer van een in de EU gevestigde onderneming op zakenreis gaat naar een derde land of daar telewerk verricht, en vanuit dat derde land via het netwerk van de werkgever toegang heeft tot databases met persoonsgegevens van bv. collega’s, sollicitanten, (contactpersonen bij) klanten of andere personen, rijst de vraag of die toegang als een ‘doorgifte’ van persoonsgegevens in het kader van de AVG moet worden beschouwd met de verplichtingen en beperkingen van dien.
De ontvanger van de persoonsgegevens is in dit geval een werknemer. Een werknemer heeft in principe niet de hoedanigheid van verwerkingsverantwoordelijke of verwerker. Een werknemer is daarentegen een persoon die onder het rechtstreeks gezag van de werkgever staat en binnen de limieten van de instructies, toelatingen en beperkingen die de werkgever oplegt, persoonsgegevens kan verwerken. Aangezien er in dit geval dus geen sprake is van een doorgifte naar een verwerker of verwerkingsverantwoordelijke met een eigen verantwoordelijkheid onder de AVG, lijken de verplichtingen inzake doorgifte van persoonsgegevens naar derde landen hier geen toepassing te vinden.

De GBA bevestigde ons bovenstaand standpunt en stelt dat wanneer een werknemer van een in de EU gevestigde onderneming op zakenreis gaat naar of telewerk verricht in een derde land, van daaruit werk verricht en hierbij toegang heeft tot persoonsgegevens van de onderneming, dit een verwerking betreft die niet onder Hoofdstuk V van de AVG inzake doorgiftes van persoonsgegevens naar derde landen valt. De werknemer is in dergelijke situatie immers geen verwerkingsverantwoordelijke of verwerker. De verwerking die de werknemer uitvoert vindt daarentegen plaats binnen de context van de activiteiten van de onderneming en onder het gezag van de onderneming. De werkgever zal dus niet verplicht zijn een van voormelde transfermechanismes te implementeren, ook niet indien er voor dat derde land geen passend beschermingsniveau kan worden gegarandeerd.

De werkgever zal echter als verwerkingsverantwoordelijke (en eventueel ook als verwerker), uiteraard wel de algemene principes van de AVG moet naleven. Zo moet de werkgever technische of organisatorische maatregelen nemen teneinde de veiligheid van de verwerking van de persoonsgegevens te beschermen. Naar analogie met de aanbevelingen van het Europees Comité voor Gegevensbescherming kan hierbij gedacht worden aan encryptie of pseudonimisering als technische maatregelen. Als organisatorische maatregel kan een specifiek te volgen procedure in geval van telewerk in of een zakenreis naar een derde land opgenomen worden in een interne privacy policy. Het is immers belangrijk om uw werknemers bewust te maken van de gevaren hieraan verbonden en hen duidelijke instructies te geven.

Julie Van Coillie
Advocaat
Claeys & Engels

Lees meer over


< Terug naar overzicht

U zoekt, u vindt !

HR Square | Magazine, E-zine, Netwerk, Website, Seminaries, ...

Word nu lid !
Geniet van de voordelen