Als werkgever streef je je bedrijfsbelangen na. Daarbij kan het nuttig zijn om e-mailverkeer van je werknemer te controleren en/of te lezen. Bv. om bedrijfsgeheimen te beschermen of de continuïteit van een dienst te garanderen bij afwezigheid van een werknemer. In het kader van een arbeidsovereenkomst heb je als werkgever een controle- en gezagsrecht.
Anderzijds hebben werknemers, ook in het kader van hun tewerkstelling, recht op privacy en bescherming van hun gegevens. Die moet je als werkgever respecteren.
Het lezen van e-mails is een ‘inmenging’ in het recht op privacy. Dat geldt ook voor professionele mails of mails uit een professionele mailbox.
Maar niet elke inmenging is verboden.
Het controleren/lezen van e-mails van werknemers is mogelijk, onder bepaalde voorwaarden of in bepaalde omstandigheden. Welke dat zijn, bespreken we hieronder:
1. De werkgever kan e-mails van werknemers slechts controleren/lezen voor een rechtmatig doel
Een inmenging in de privacy, kan enkel gebeuren voor specifieke en gerechtvaardigde doeleinden. Ook dat beginsel wordt uitdrukkelijk bevestigd in de GDPR. De verwerking van gegevens n.a.v. een controle van e-mailgebruik moet een gerechtvaardigd doel hebben.
Rechtmatige doelen voor het lezen van e-mails kunnen bv. zijn:
het verzekeren van de continuïteit van de geleverde diensten (bv. bij afwezigheid van een werknemer);
de verdediging in rechte van het bedrijf;
de bescherming van (vertrouwelijke) gegevens;
de veiligheid en/of de goede werking van de onderneming;
….
Die doelstellingen moeten duidelijk en expliciet omschreven worden.
2. Het lezen van de e-mails moet proportioneel zijn
Het lezen van de e-mails moet relevant en niet overmatig zijn ten opzichte van de doelstellingen. De inmenging in de privacy moet tot een absoluut minimum beperkt worden.
Vaak wordt door rechtbanken nagegaan of het wel proportioneel is van een werkgever om de inhoud van de e-mailcommunicatie te lezen en daarbij de vraag gesteld of er geen ander — minder ingrijpend — controlemiddel had kunnen gebruikt worden om het doel van de controle te bereiken.
Dat is een feitelijke beoordeling.
Proportionaliteit vereist vaak het instellen van procedures.
Als privégebruik van e-mails toegestaan zou zijn, kan aan de werknemer gevraagd worden om professionele e-mails van privégerelateerde e-mails te scheiden.
Wanneer e-mails doorzocht worden in functie van een rechtmatig doel, is het aan te raden om deze zoektocht te laten uitvoeren door een aangewezen (externe) vertrouwenspersoon die de zoektocht doet aan de hand van gerichte zoektermen (die eventueel stap voor stap verfijnd kunnen worden), beperkt tot een relevante periode. Op die manier wordt de inmenging, het lezen van e-mails tot een minimum beperkt omdat enkel die relevantie e-mail, noodzakelijk om de doelstelling te bereiken, gelezen zal worden.
3. De werknemer moet duidelijk geïnformeerd worden over de mogelijkheid dat e-mails gelezen kunnen worden.
Transparantie is een derde belangrijke voorwaarde om een inmenging in de privacy van een werknemer te rechtvaardigen.
Een louter verbod op het privégebruik van de mailbox volstaat niet om een controle uit te voeren en toegang te verkrijgen tot de inhoud van e-mails.
Concreet moeten werknemers weten dat je als werkgever het gebruik van e-mail (en de inhoud ervan) kan controleren. De werknemers moeten geïnformeerd worden over het doel van de controle, hoe en in welke mate die controle precies gebeurt (zie hierboven). Ook op basis van de GDPR moeten werknemers geïnformeerd worden over deze (en andere) aspecten van de verwerking van persoonsgegevens die gepaard gaat met een controle van e-mails.
Deze informatie kan gegeven worden door opname in het arbeidsreglement, maar ook andere kanalen zijn mogelijk (bv. in de arbeidsovereenkomst, in policies, via e-mail, …) zolang de werkgever kan aantonen dat de werknemer duidelijk geïnformeerd werd.
Het is van belang dat die informatie correct is en de bedrijfsregels of procedures in de praktijk ook consequent toegepast worden.
4. Is de toestemming van de werknemer ook nodig?
Er zijn twee wettelijke bepalingen die op het eerste gezicht doen uitschijnen dat je als werkgever sowieso de toestemming moet vragen aan een werknemer om inzage te krijgen in zijn/haar e-mailcorrespondentie:
Artikel 124 van de Wet van 13 juni 2005 betreffende de elektronische communicatie bepaalt dat niemand zonder de toestemming van alle bij de communicatie betrokken personen met opzet kennis mag nemen van het bestaan van informatie van alle aard die via elektronische weg is verstuurd en die niet persoonlijk voor hem bestemd is.
Artikel 314bis van het Strafwetboek bepaalt dat het verboden is voor een persoon om opzettelijk met behulp van enig toestel niet voor publiek toegankelijke communicatie, waaraan die persoon niet deelneemt, te (doen) onderscheppen, (doen) kennisnemen, (doen) opnemen, zonder de toestemming van alle deelnemers aan die communicatie.
Op basis van deze wettelijke bepalingen en een arrest van het Hof van Cassatie van 20 mei 2019 wordt er in bepaalde rechtsleer en rechtspraak dan ook gesuggereerd dat inzage in e-mails van de werknemer niet mogelijk is zonder zijn/haar toestemming.
In andere rechtsleer, rechtspraak en ook door de Belgische gegevensbeschermingsautoriteit wordt geopperd dat inzage in e-mails wel mogelijk is, zelfs zonder de expliciete toestemming van de werknemer. Bovenvermelde artikelen zouden niet van toepassing zijn op werkgevers die e-mails controleren op basis van hun gezagsrecht. Dat gezagsrecht vloeit voort uit de arbeidsovereenkomstenwet en zou een wettelijke uitzonderingsgrond vormen zodat de desbetreffende handelingen (kennisnemen van communicatie zonder toestemming, …) toegestaan zijn.
Er is dus ruimte voor discussie. Je zou als werkgever het standpunt kunnen innemen dat de toestemming van de werknemer niet vereist is om e-mails van je werknemers te lezen. Uiteraard dien je in ieder geval de bovenvermelde privacyprincipes moeten naleven.
5. Kan de toestemming van de werknemer eventueel de toepassing van de bovenvermelde privacyprincipes vervangen?
Je zou het standpunt kunnen innemen dat een werknemer de toestemming kan geven aan de werkgever om zijn/haar e-mails te lezen zonder dat de werkgever de beginselen van finaliteit, transparantie en proportionaliteit moet naleven.
Ook dat is wellicht voor discussie vatbaar.
Uit de GDPR vloeit voort dat in het arbeidsrecht de “toestemming” (van de werknemer) meestal geen toegelaten rechtsgrond is om persoonsgegevens te verwerken (de inzage van e-mails is een persoonsverwerking). De toestemming moet immers ‘vrij’ zijn. Aangezien een werknemer onder het gezag staat van zijn/haar werkgever is die toestemming bijgevolg dikwijls niet vrij.
Of de werknemer al dan niet vrije toestemming kan geven om e-mails door de werkgever te laten lezen, is een feitenkwestie. Wij menen dat de vrije toestemming slechts in een zeer beperkt aantal omstandigheden mogelijk is.
BESLUIT
Ongetwijfeld is het uitgangspunt dat je als werkgever e-mails van je werknemers niet zomaar mag lezen. Dat zou ingaan tegen de privacyregels.
Toch is het volgens de gegevensbeschermingsautoriteit niet onmogelijk.
Je kan als werkgever inzage krijgen in e-mails voor specifieke rechtmatige doelen op voorwaarde dat het lezen van de e-mails proportioneel is en de werknemer transparant geïnformeerd werd over die mogelijkheid en de modaliteiten daarvan.
Als je als werkgever in bepaalde omstandigheden de mogelijkheid wil hebben om e-mails in te zien, is een goede policy daarover een must.
In die omstandigheden is de toestemming van de werknemer misschien niet vereist.
Heeft u nog vragen ? Commit Advocaten helpt u graag verder.
Ondanks alle zorg die besteed is aan het opstellen van deze tekst, blijven vergissingen en/of onvolkomenheden mogelijk. De auteur en Commit Advocaten cvba kunnen daarvoor geen aansprakelijkheid aanvaarden.