|
1.
Mevrouw Copland werkt bij het Carmarthenshire College,
een openbare school voor voortgezet onderwijs in Wales.
Via haar stiefdochter, waar inlichtingen worden
ingewonnen door haar werkgever over door haar op haar
werk verzonden e-mails, komt zij er achter dat haar
telefoongebruik al achttien maanden, en haar e-mail
verkeer al zes maanden door haar werkgever worden
gemonitord. Zij wist daar niets van. Bij het College
bestond geen interne regeling over het monitoren van de
elektronische communicaties van de werknemers. Copland
beklaagde zich bij haar werkgever. Uit de weergave van
de feiten blijkt dat daarover wel het nodige te doen is
geweest op de school, maar dat er geen procedure bij een
rechter is gevolgd. Onderdeel van de klacht is dan ook
schending van artikel 13 (het ontbreken van een
behoorlijk rechtsmiddel), waar het Hof echter niet meer
op ingaat wegens de gegrond bevinding van de klacht
onder artikel 8 van het Verdrag.
2.
Het Hof trekt in deze beslissingen drie lijnen door: a.
Ook op de werkplek bestaat privacy voor elektronische
communicaties, ongeacht of deze een privé karakter
hebben: ook de 'zakelijke' communicatie valt onder de
bescherming van artikel 8 (in verband met de uitleg van
'home' dat ook kantoor omvat, zie de zaak Niemietz, EHRM
16 december 1992, NJ 1993, 400, m.nt. EJD);
b. 'Private correspondence' in artikel 8 wordt
'dynamisch'(zoals dat in het jargon heet) uitgelegd,
naar de stand van de techniek. Het omvat ook e-mail
verkeer en internetgebruik (overweging 41); c. 'Private
correspondence' slaat niet alleen op de inhoud van de
communicatie, maar ook op de verkeersgegevens over
gesprekken en andere elektronische communicaties (met
wie is wanneer gecommuniceerd: zaak Malone, EHRM
2 augustus 1984, NJ 1988, 534) Onder
verwijzing naar de zaak Amann betrekt het Hof daarbij
uitdrukkelijk dat deze vorm van monitoring het opslaan
van persoonsgegevens oplevert, welke activiteit ook een
inbreuk op de privacy is (overweging 43). Men kan deze
uitspraak zo lezen dat het ook slaat op de verwerking
van gegevens nadat deze zijn opgeslagen.
3.
Het Hof volgt in deze uitspraak in overweging 42 de
beslissing inzake Halford (EHRM
25 juni 1997, NJ 1998, 506, m.nt. PJB):
“The
applicant in the present case had been given no
warning that her calls would be liable to monitoring,
therefore she had a reasonable expectation as to the
privacy of calls made from her work telephone. The
same expectation should apply in relation to the
applicant's e-mail and internet usage.”
Deze
algemene formulering kan licht tot de volgende
verwarrende cirkelredenering leiden. Een werkgever
waarschuwt zijn werknemers: Wie mijn onderneming
betreedt, behoeft niet op privacy te rekenen. De
werknemers hebben dus geen privacyverwachting. Ergo: hun
privacy kan niet meer worden geschonden. Zo is het niet.
Naar mijn oordeel gaat het om twee dingen: de controle
van de gedragingen van de werknemer, ongeacht of deze
betrekking hebben op zijn werk en de vrijheid van de
werknemer voor privé handelingen binnen het werk. In
het eerste geval gaat het om de onbevangenheid waarmee
de werknemer, niet gadegeslagen, op of in verband
met zijn werk handelingen kan verrichten. Dat loopt van
controle op aanwezigheid (prikklokken) en beweging
(cameratoezicht) tot het monitoren van elektronische
communicatie (telefoon, e-mail, internet). In het tweede
geval gaat het om de vrijheid die de werknemer heeft om
tijdens werktijd privé handelingen te verrichten: een
persoonlijk telefoongesprek, het boeken van een
vakantiereis, het kopiëren van een belastingaangifte.
In deze casus vielen de eerste en tweede categorie
samen: mevrouw Copland werd er op gecontroleerd of zij privé
gesprekken voerde. Van de eerste categorie kan men
met deze uitspraak in de hand zeggen dat er voor
monitoring op het werk geen plaats is als daarvoor niet
een behoorlijk gepubliceerde regeling bestaat, zodat de
werknemer zijn verwachtingen daarop kan afstellen. Of
dat steeds het geval is, is trouwens de vraag. Er zijn
functies waarvan de werknemer naar hun aard behoort te
verwachten dat deze zullen worden gemonitord, zoals
bijvoorbeeld het voeren van telefoongesprekken in call
centra. Bij de tweede categorie gaat het om de
omgangsvormen binnen een onderneming, die meer of minder
strikt kunnen zijn en die het arbeidsklimaat mede
bepalen. In het algemeen kan de werknemer ervan uit gaan
dat hij geen 'expectancy of privacy' heeft als er in
concreto geen toestemming voor privé handelingen is,
maar zal daarbij snel van een de minimis beleid door de
werkgever sprake zijn: kleine dingen zullen door de
vingers worden gezien.
4.
In beide gevallen is privacy niet een feitelijk
maar een normatief verwachtingspatroon. Wat mag
een werknemer in de gegeven omstandigheden, en gelet op
de heersende maatschappelijke opvattingen, verwachten,
en welke verwachtingen behoort een werkgever
daarbinnen te honoreren. Binnen een zakelijke
werkomgeving kan privacy meer worden beperkt dan in de
privésfeer (zie overweging 31 in de Niemietz zaak).
Beperkingen zullen ook in de werksfeer op
gerechtvaardigde doelstellingen en proportionaliteit
moeten worden getoetst. Dat kan betekenen dat te
belastende vormen van monitoring danwel een compleet
verbod op kleine privé handelingen een ongeoorloofde
schending van privacy kunnen opleveren. Ik volg niet de
opvatting dat dit soort vragen zich geheel oplossen in
het recht van de arbeidsovereenkomst (zie bijvoorbeeld
in andere zin, J.H.J. Terstegge, 'Privacybescherming van
werknemers; actie door Europa?', in: P&I 2002/1,
p. 31-34).
5.
Het Hof onderzoekt nauwkeurig of er een voldoende
wettelijke grondslag is voor de inbreuk op de privacy.
Het antwoord is negatief, omdat de wettelijke regeling
waar het VK zich op had beroepen, niet voldeed aan de
hoge kwaliteitseisen die het Hof heeft ontwikkeld als
het gaat om afluisteren (zie Khan, EHRM
12 mei 2000, NJ 2002, 180, m.nt. Sch, par.
26; P.G. en J.H., EHRM
25 september 2001, NJ 2003, 670, m.nt.
EJD, par. 44). Soortgelijke eisen stelt het bij
video-observatie in het kader van de strafvordering (EHRM
17 juli 2003, NJ 2006, 40, de zaak Perry).
Dergelijke wettelijke regelingen moeten over het
algemeen aan de volgende kwaliteitseisen voldoen: zij
moeten de bevoegdheden voor controle op een voor het
datasubject eenduidige manier vastleggen, er moet
toestemming tot controle vooraf (in geval van de
arbeidsovereenkomst in een met de werknemers
overeengekomen regeling) of notificatie achteraf zijn en
tijdsduur en intensiteit van de controle moeten beperkt
zijn. Geheime controle is iets wat het Hof
vrijwel altijd afwijst. De wettelijke bevoegdheid van de
school om datgene te doen wat 'necessary and expedient'
was, was te vaag en bevatte bovendien geen enkele
waarborg voor het datasubject. Het VK heeft in 2000
kennelijk op grond van de Telecommunications Regulations
een regeling “Lawful Business Practice' gemaakt, maar
die was nog niet van kracht.
6.
Voor een overzicht van de Nederlandse praktijk en
rechtspraak verwijs ik naar H.H. de Vries, 'Privacy op
de werkplek', in: J.M.A. Berkvens & J.E.J. Prins
(red.), Privacyregulering in theorie en Praktijk,
Deventer: Kluwer 2007 (4e druk), p. 185-200.
De algemene bepalingen van arbeidsrecht geven niet een
specifieke wettelijke grondslag, en, stelt de Vries, de
Wbp is niet toegesneden op arbeidsverhoudingen. Een
poging een aparte richtlijn te maken is gestrand (de
Vries, a.w. p. 190-191).
7.
Het College Bescherming Persoonsgegevens heeft een
geactualiseerde versie van het rapport Goed
werken in netwerken van de Registratiekamer
gemaakt (Achtergrondstudies en Verkenningen nr. 21, Den
Haag april 2002). Dit document bevat talrijke
verstandige aanwijzingen hoe met dit soort problematiek
om te gaan (in ieder geval een behoorlijk reglement dat
werkgever en vertegenwoordigers van werknemers binnen de
onderneming met elkaar zijn overeengekomen). Het wijst
verschillende wettelijke grondslagen voor dit soort
regelingen aan. Bij gebreke van een specifieke
wettelijke regeling, moeten mijns inziens
monitorregelingen (mede) worden gebaseerd op de Wbp,
omdat er vrijwel altijd opslag en verwerking van
persoonsgegevens in de zin van deze wet in het geding
is. Het CBP gaat daar ook vanuit. Dat betekent dus ook
dat deze regelingen moeten voldoen aan de
kwaliteitseisen die de Wbp stelt. Dat zou mijns inziens
ook voldoen aan de kwaliteitseis van de wetgeving die
het EHRM in het kader van artikel 8 EVRM bij dit soort
zaken stelt.
|
