Mag ik foto’s van werknemers op de website van het bedrijf gebruiken?
Het plaatsen van een foto van een werknemer valt onder het verwerken van persoonsgegevens. Soms zelfs in de categorie ‘bijzondere persoonsgegevens’ (ras, etniciteit, gezondheid). Een foto plaatsen van een werknemer op een website (dus externe publicatie) is voor de meeste functies niet noodzakelijk. Dit betekent dat je als werkgever, als je een foto wilt plaatsen, op grond van de AVG een wettelijke grondslag moet hebben, en dat is voor dit onderwerp toestemming van de werknemer of organisatiebelang. Soms zul je dus expliciet om toestemming van de werknemer moeten vragen. Betreft het echter externe publicatie die verbonden is aan de functie (bijv. sales, communicatie, helpdesk), of strikt interne publicatie, dan is de grondslag ‘belang van de organisatie’ de juiste, i.p.v. de grond ‘toestemming’. Bij die grondslag ‘belang van de organisatie’ is een kenbare belangenafweging tussen bedrijfsbelang en individueel privacybelang vereist. Wat een werknemer in zijn of haar functie kan verwachten, speelt daarbij een grote rol (het principe surprise minimization). Denk aan het bestendig gebruik binnen het bedrijf, een vermelding in de privacyverklaring, een mededeling op het moment van nemen van de foto, de oorspronkelijke reden voor de foto en een mededeling daarover.
Wilt u meer weten over de bescherming van persoonsgegevens van uw werknemers? Volg dan ons webinar Privacy en werk op donderdag 17 november. AWVN-advocaat Astrid Zuidinga neemt u mee in de belangrijkste basisregels en begrippen, en de ontwikkelingen op het gebied van privacy en werk. Uiteraard worden ook actuele thema’s besproken.
Meld u hier aan
Aan de grond ‘toestemming’ zijn diverse eisen verbonden waar in de arbeidsrelatie vanwege de afhankelijkheidsrelatie meestal niet aan kan worden voldaan. Een werknemer moet op ondubbelzinnige wijze toestemming hebben gegeven voor het verwerken van persoonsgegevens, dus ook in de vorm van ‘foto op publieke website’. Dit betekent dat je als werkgever precies moet weten waar je toestemming voor vraagt en wat het doel is. Ook moet je als werkgever kunnen aantonen dat de werknemer toestemming heeft gegeven voor deze specifieke kwestie. Daarnaast moet je aan de werknemer laten weten dat diegene zijn toestemming op ieder moment weer kan intrekken. En ook ‘in vrijheid’, dus geen nadeel ondervinden indien toestemming niet wordt gegeven. Vooral dat laatstgenoemde element is in de praktijk een struikelblok. Echter, of een verkregen toestemming voldoende is voor een verwerking als deze, is natuurlijk als startpunt aan de werkgever, de verantwoordelijke, ter beoordeling. Een werknemer kan daar echter als rechthebbende ook wat van vinden. Een verstandige werkgever biedt dus zijn werknemers dus de keuze om geen foto te plaatsen, tenzij dat echt nodig is voor de functie.
Tot slot twee aanvullende opmerkingen. Ten eerste, deze vraag, althans het bredere beleid voor bescherming van werknemersgegevens valt ook onder het instemmingsrecht van een OR (‘verwerken en beschermen van persoonsgegevens van in de onderneming werkzame personen’). Ten tweede, deze vraag raakt ook aan het bredere gegevensbeschermingsbeleid van de organisatie. Denk bijvoorbeeld aan gezichtsherkenning als toegangsbeveiliging van apparatuur (smartphones en laptops). Die blijkt te foppen met een goed gelijkende foto. In het algemeen geldt dat hoe meer persoonlijke informatie van medewerkers (e-mailadres, telefoonnummer, foto, persoonlijke voorkeuren) extern wordt gedeeld, hoe groter de kans op schadelijk misbruik door derden.