Auteur(s): Annick Alders
Het dossier van de vertrouwenspersoon bevat individuele persoonsgegevens. De GDPR verhindert dat deze gegevens langer worden bijgehouden dan strikt noodzakelijk. Maar hoe lang is noodzakelijk? Een aanbeveling.
De GDPR-regels
De Algemene verordening gegevensbescherming (afgekort AVG, of beter gekend als GDPR) bepaalt dat persoonsgegevens enkel verzameld kunnen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, de zogenaamde “doelbinding”.[1] Zij verbiedt evenwel het verzamelen van gezondheidsgegevens, tenzij op grond van een wettelijke verplichting [2]. Bovendien mogen de gegevens niet langer bewaard worden dan nodig voor de doeleinden waarvoor zij verzameld zijn, omschreven als de voorwaarde van “opslagbeperking”. Om dit te garanderen moet een retentiebeleid uitgewerkt worden. Dit is het beleid waarin wordt vastgelegd hoe lang de verwerkte persoonsgegevens worden bijgehouden.
Welk soort gegevens verwerkt de vertrouwenspersoon?
Gezondheidsgegevens zijn individuele persoonsgegevens die verband houden met de fysieke of mentale gezondheid van de verzoeker. Het is vrij evident dat het dossier van de vertrouwenspersoon dit soort gegevens bevat. Het bijhouden van dit dossier voldoet evenwel aan de formele uitzonderingsvoorwaarde van de AVG, gezien de Welzijnswet en Codex de opdracht van de vertrouwenspersoon concreet omschrijven en regelen.[3] Bovendien heeft de vertrouwenspersoon principieel een beroepsgeheim, zodat het dossier van de vertrouwenspersoon op dit vlak perfect in lijn is met de gegevensbescherming uit de AVG.[4]
Doel van de gegevensverwerking door de vertrouwenspersoon
De vertrouwenspersoon neemt, net zoals de PAPS, een sleutelpositie in bij de preventie van psychosociale risico’s. Naast medewerking aan het algemeen preventiebeleid van de onderneming aan de hand van de geanonimiseerde collectieve gegevens, staat de vertrouwenspersoon in pole position als het gaat om verzoening, bemiddeling, gesprekvoering en het bieden van een luisterend oor aan werknemers die getroffen worden door een psychosociaal risico. Dit betekent meteen dat zolang dit soort preventie mogelijk is, de gegevensverwerking aan het doel voldoet, met name meewerken aan de psychosociale preventie.
Hoe lang?
Om een degelijk retentiebeleid op te stellen moet niet enkel het doel bepaald worden, maar ook de bewaartermijn. Wie daarvoor zijn heil zoekt in de Welzijnswet en Codex, komt van een kale reis terug. Voor heel wat andere documenten bestaat er wel een strikt geregelde bewaartermijn:
- Het register voor feiten van derden: de verklaringen moeten vijf jaar na de datum ervan bewaard worden. (art. I.3-3 Codex). Dit register kan ook bijgehouden worden door de vertrouwenspersoon.
- De arbeidsongevallensteekkaart en aangifte van arbeidsongeval: ten minste tien jaar na het ongeval te bewaren (art. I.6-12 (Codex). Gezien elk arbeidsongeval ook het onderzoek naar psychosociale oorzaken ervan vereist, bevatten deze steekkaarten mogelijks ook gezondheidsgegevens
- Het individueel dossier van de PAPS: 20 jaar te bewaren (I.3-32 Codex)
Daarnaast geldt ook de burgerrechtelijke en strafrechtelijke verjaringstermijn voor vorderingen gesteld in het kader van de arbeidsrelatie. Burgerlijke vorderingen voortvloeiend uit de arbeidsovereenkomst tussen werkgever en werknemer verjaren na 5 jaar na het feit waaruit de vordering is ontstaan, maar maximaal één jaar na het einde van de arbeidsovereenkomst.[5] Gezien inbreuken op de Welzijnswet ook strafbaar zijn, verjaren deze vorderingen 5 jaar na het misdrijf.
Heel wat termijnen dus, met een minimum van vijf jaar en een maximum van 20 jaar.
Best practice
Ons inziens kan verdedigd worden dat het dossier van de vertrouwenspersoon even lang bewaard wordt als het individueel dossier van de PAPS. PAPS en vertrouwenspersoon oefenen exact dezelfde taak uit in het kader van informele verzoeken tot psychosociale interventie. Bovendien kan de PAPS ook de functie van vertrouwenspersoon uitoefenen.
Bovendien blijkt dat veel werknemers die geconfronteerd worden met grensoverschrijdend gedrag soms erg lang aarzelen vooraleer zij formele stappen ondernemen. De weg naar de vertrouwenspersoon vinden zij soms al veel eerder. In het kader van de noodzakelijke gegevensuitwisseling tussen vertrouwenspersoon en PAPS in het formele stadium is het dan ook verdedigbaar dat de opgetekende gezondheidsgegevens lang genoeg, in dit geval even lang als deze van de PAPS, bewaard worden. Hoewel twintig jaar erg lang is, lijkt dergelijke termijn toch verantwoord, temeer daar de gegevensbescherming mede gewaarborgd wordt door het beroepsgeheim.
Als de verzoeker de onderneming intussen verlaten heeft, lijkt de bewaringstermijn in dat geval beperkt te kunnen worden tot 5 jaar na het verzoek en/of de interventie. Bijkomende interventies van de vertrouwenspersoon zullen er op dat ogenblik immers niet meer komen. In dat geval kan de verjaringstermijn van 5 jaar als basis gehanteerd worden.
[1] Art. 5.1,b) AVG
[2] Art. 4, eerste lid, 15)AVG
[3] Art. 9.2, b) AVG
[4] Art. 9.3 AVG en art. 32quinquiesdecies Welzijnswet
[5] Art. 15 Arbeidsovereenkomstenwet.
Ook gepubliceerd op www.senTRAL.be
Foto: Chris Persyn
