HvJ EU: Arbeidstijdregister valt onder begrip persoonsgegevens
HvJ EU 30 mei 2013, zaak C-342/12 (Worten) - dossier
Verzoek om een prejudiciële beslissing door Tribunal do Trabalho de Viseu, Portugal.
Uitlegging van de artikelen 2 en 17, lid 1, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Begrip persoonsgegevens – Gegevens die zijn opgenomen in een systeem voor de registratie van de arbeidstijden van werknemers van een onderneming.
Het Hof verklaart voor recht:
1) Artikel 2, sub a, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat een arbeidstijdregister zoals dat in het hoofdgeding, met daarin voor elke werknemer het begin en het einde van de arbeidstijd alsook de bijbehorende onderbrekingen of pauzes, onder het begrip „persoonsgegevens” in de zin van die bepaling valt.
2) De artikelen 6, lid 1, sub b en c, en 7, sub c en e, van richtlijn 95/46 moeten aldus worden uitgelegd dat zij zich niet verzetten tegen een nationale regeling zoals die in het hoofdgeding, die een werkgever verplicht aan de nationale autoriteit bevoegd voor het toezicht op de arbeidsvoorwaarden een onmiddellijk consulteerbaar arbeidstijdregister ter beschikking te stellen, voor zover deze verplichting noodzakelijk is opdat die autoriteit het haar opgedragen toezicht op de toepassing van de arbeidsvoorwaardenregeling, met name inzake arbeidstijd, kan uitoefenen.
Gestelde vragen:
1) Dient artikel 2 van richtlijn 95/46 [...] aldus te worden uitgelegd dat de arbeidstijdregistratie – te weten de registratie voor elke werknemer van het begin en het einde van de arbeidstijd alsook de onderbrekingen of pauzes die er geen deel van uitmaken – onder het begrip ,persoonsgegevens’ valt?
2) Indien de vorige vraag bevestigend wordt beantwoord: is de Portugese Staat krachtens artikel 17, lid 1, van richtlijn 95/46 [...] verplicht om passende technische en organisatorische maatregelen vast te stellen om persoonsgegevens te beveiligen tegen toevallige of onrechtmatige vernietiging, toevallig verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking gepaard gaat met doorzending van gegevens via een netwerk?
3) Indien ook de vorige vraag bevestigend wordt beantwoord: wanneer de lidstaat geen enkele maatregel neemt overeenkomstig artikel 17, lid 1, van richtlijn 95/46 [...] en de voor de verwerking van voornoemde gegevens verantwoordelijke werkgever een systeem van beperkte toegang tot deze gegevens invoert waarbij de nationale overheid die bevoegd is voor de controle van de arbeidsvoorwaarden, niet automatisch toegang krijgt tot deze gegevens, dient het beginsel van voorrang van het Unierecht dan aldus te worden uitgelegd dat de lidstaat deze werkgever niet kan bestraffen voor een dergelijke handelwijze?”