Welke gegevens mogen ondernemingen verzamelen in het kader van een diversiteitsbeleid?

25 april 2021 om 08:04 | 432 weergaven

[genodigde artikel]

In het zog van de ‚ÄúBlack¬†Lives¬†Matter‚ÄĚ-beweging¬†streven¬†ondernemingen¬†ernaar om¬†meer diversiteit in hun personeelsbestand te bewerkstelligen. Werkgevers wensen daarbij soms aan hun werknemers of aan kandidaten te vragen om op vrijwillige basis persoonlijke informatie mee te delen (‚Äúdiversity¬†monitoring‚ÄĚ). Vaak gaat het om¬†enqu√™tes met vragen¬†over ras, etnische afkomst, gezondheid, religie, seksuele geaardheid, gender, genderidentiteit of sociale afkomst.¬†¬†

Maar in welke mate is de verzameling van deze gegevens toegelaten onder de GDPR?  

Verwerking van gevoelige persoonsgegevens: in principe verboden…  

De GDPR voorziet in een bijzonder regime voor een aantal categorie√ęn van persoonsgegevens omwille van hun gevoelig karakter. Dit gaat meer bepaald over gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gezondheidsgegevens alsook gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.¬†¬†

De verwerking van deze bijzondere categorie√ęn van persoonsgegevens is in principe verboden, tenzij de onderneming zich kan beroepen op een specifieke uitzondering.¬†Dit geldt eveneens wanneer¬†de onderneming¬†de inzameling van de gegevens zou uitbesteden aan een derde partij, zoals een onafhankelijk bureau, aangezien¬†de werkgever¬†als¬†verwerkingsverantwoordelijke¬†verplicht is erop toe te zien dat¬†v verwerkers die in¬†zijn¬†opdracht gegevens verwerken, eveneens de GDPR naleven.¬†In het kader van een diversiteitsbeleid zijn de volgende uitzonderingen relevant:¬†

(i) De uitdrukkelijke toestemming van de werknemer:  

¬†De GDPR vereist dat de toestemming vrij, specifiek, ge√Įnformeerd en ondubbelzinnig is. Dit houdt onder meer in dat er geen machtsonevenwicht bestaat tussen de verwerkingsverantwoordelijke en de betrokken persoon. Om die reden is toestemming geen solide uitzondering in het kader van een diversiteitsbeleid op de werkvloer, aangezien werknemers zich onder druk gezet kunnen voelen om zich te laten registreren als iemand die behoort tot de doelgroep.¬†

(ii) De noodzakelijkheid met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten op gebied van arbeidsrecht: 

¬†Tot op heden bestaat er geen algemene wettelijke verplichting of bepaling die toelaat om diversiteit te meten in ondernemingen.¬†Ondernemingen zouden zich eventueel kunnen baseren op de invoering van zogenaamde ‚Äúpositieve acties‚ÄĚ zoals voorzien in de¬†antidiscriminatiewetgeving. Voor de invoering van een positieve actie moet de onderneming (of de sector) nl. aantonen dat er een ongelijkheid bestaat tussen de personen van de beoogde doelgroep en de overige personen. Volgens de Gegevensbeschermingsautoriteit kan deze ongelijkheid echter ook op een andere manier aangetoond worden dan door de inzameling van persoonsgegevens. Bijgevolg kan¬†de¬†regelgeving¬†inzake positieve acties¬†volgens de Gegevensbeschermingsautoriteit¬†niet als uitzondering worden ingeroepen op het verbod¬†op¬†verwerking van gevoelige persoonsgegevens..¬†¬†

… tenzij in Brussel via een diversiteitsplan (Actiris): 

¬†Enkel ondernemingen met maatschappelijke zetel of minstens √©√©n exploitatiezetel in het Brussels Gewest¬†kunnen zich baseren op een uitzondering voorzien in de Brusselse regelgeving.¬†¬†Volgens¬†het Besluit van de Brusselse Regering van 7 mei 2009¬†hebben Brusselse ondernemingen¬†inderdaad de toelating om hun personeelsbestand¬†op¬†te delen in categorie√ęn van begunstigde werknemers¬†om op die manier¬†een diversiteitsplan op te stellen en dit ter goedkeuring voor te leggen aan¬†Actiris. Indien dit diversiteitsplan vervolgens correct wordt uitgevoerd, kan de onderneming een diversiteitslabel toegekend krijgen¬†¬†

 Het is wel zo dat ondernemingen voor het opstellen van een diversiteitsplan de voorafgaandelijke steun nodig hebben van de ondernemingsraad, van het CPBW of van de vakbondsafvaardiging. Eens die steun bekomen is, kan de onderneming aan de slag met het tweejarig traject dat uit de volgende negen stappen bestaat: 

 

  1. Ondertekenen van een intentieverklaring, waarmee de onderneming zich inschrijft in het Brussels beleid van diversiteit en non-discriminatie; 
  2. Cre√ęren van een ondersteuningsstructuur¬†(aanduiden van¬†3 tot 8 personen binnen de onderneming die het project zullen opvolgen);¬†
  3. Analyse van de stand van zaken over diversiteit in¬†de onderneming¬†(in deze stap kan er dus aan ‚Äúdiversity¬†monitoring‚Ä̬†worden gedaan);¬†
  4. Actiepunten vastleggen die de onderneming zal uitvoeren in de loop van de twee jaar dat het diversiteitsplan loopt; 
  5. Kosten van het plan begroten als basis voor de financieringsaanvraag; 
  6. Uitvoering van het diversiteitsplan nadat de goedkeuring van Actiris bekomen werd; 
  7. Evaluatie van het diversiteitsplan na twee jaar; 
  8. Aanvraag van het diversiteitslabel na een positieve eindevaluatie; 
  9. Diversiteit duurzaam maken in de onderneming en discriminatie blijven bestrijden na het verkrijgen van het diversiteitslabel. 

 Verwerking van niet-gevoelige persoonsgegevens: toegelaten mits balancing test  

¬†Andere persoonsgegevens ‚Äď waaronder gender, genderidentiteit en sociale afkomst ‚Äď vallen niet onder de bijzondere categorie√ęn van gevoelige gegevens. Dit betekent echter niet dat deze gegevens zomaar kunnen opgevraagd worden. Ondernemingen moeten immers beschikken over een rechtsgrond.¬†¬†

 Zo zouden ondernemingen zich kunnen beroepen op een gerechtvaardigd belang voor de onderneming om meer diversiteit te bekomen. De vraag zal evenwel rijzen of het in dat kader voor een onderneming noodzakelijk is om de werknemers te ondervragen over dergelijke persoonsgebonden gegevens. De onderneming zou desgevallend bovendien in het kader van het accountability principe werk moeten maken van een uitgewerkte balancing test om de belangen van de werkgever af te wegen tegen de belangen van de werknemers.  

 Verwerking van anonieme gegevens: de veiligste optie 

¬†In ieder geval mogen zowel gevoelige gegevens als niet-gevoelige gegevens op anonieme basis verzameld en verwerkt worden, aangezien de GDPR niet van toepassing is op anonieme gegevens.¬†Om alle risico‚Äôs uit te sluiten, is het dan ook sterk aangewezen om werknemersgegevens enkel op anonieme basis te verzamelen en te verwerken.¬†Het is dan wel vereist dat de gegevens op geen enkele manier kunnen worden toegeschreven aan een ge√Įdentificeerde of identificeerbare persoon en bijgevolg van begin af aan geanonimiseerd werden (en niet pas geanonimiseerd werden na verzameling).¬†¬†

 

Over de auteur

Lauren Daniels, Advocaat bij Claeys & Engels

Delen