Tip: Voor meer algemene informatie over de AVG neem dan contact op met een van onze privacyspecialisten. Zie https://www.lxa.nl/nl/diensten/ict-privacy/
Als werkgever verwerkt u op verschillende manieren persoonsgegevens van uw personeel. Denk – naast de gebruikelijke gegevens voor de personeelsadministratie – ook aan gegevens ten behoeve van de beoordelingscyclus, (controle op) aanwezigheid op het werk of het gebruik van cameratoezicht en GPS-systemen. Een logische vraag is dan ook of de AVG impact heeft voor de arbeidsrechtpraktijk en zo ja wat de praktische gevolgen hiervan zijn voor uw HR beleid?
Om deze vraag te kunnen beantwoorden is het van belang helder te hebben welke veranderingen de AVG brengt ten opzichte van de Wbp. Maar eerst, hoe zit het ook alweer met het verwerken van gegevens. Wanneer mag dat?
De basis: gronden voor verwerking gegevens
De limitatieve lijst van mogelijke verwerkingsgronden uit de voorganger van de AVG (art. 8 Wbp) keert terug in de AVG. “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:”
Voor de arbeidsrechtpraktijk zijn met name vier gronden voor rechtsgeldige verwerking relevant. Het gaat hier om:
- toestemming van de betrokkene (werknemer);
- de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (zoals de arbeidsovereenkomst)
- de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verantwoordelijke (werkgever) rust;
- de verantwoordelijke (werkgever) heeft een gerechtvaardigd belang bij de verwerking, welk belang, kort gezegd, dient te prevaleren boven dat van de betrokkene (werknemer).
Ten aanzien van (1) toestemming van de betrokkene is relevant erop te wijzen dat de considerans bij de AVG vermeldt dat dit een onzekere grond vormt. Een algemene toestemming van de werknemer (bijv. in de arbeidsovereenkomst) heeft dus in het kader van de AVG geen effect vanwege de gezagsverhouding tussen werkgever en werknemer.
Relevante veranderingen?
Veel van de algemene beginselen, begrippen en uitgangspunten in de AVG zijn gelijk aan de huidige Wbp. Echter de AVG bevat een aantal explicietere formuleringen en wijzigingen die zorgen voor meer rechten voor werknemers en nieuwe verplichtingen voor werkgevers. Centraal in de AVG staat de verplichting om zelf een algeheel privacybeleid op te stellen, waarin de ondernemer het privacybeleid, inclusief het beleid ten aanzien van werknemersgegevens, verantwoordt. Hieronder een opsomming van enkele relevante veranderingen:
Meer rechten voor de werknemer:
- Het recht op inzage is uitgebreid. In dit kader is nieuw dat de werknemer recht heeft op informatie hoe lang de werkgever beoogt gegevens te bewaren, of ze worden gebruikt voor automatische besluitvorming, of naar het buitenland worden getransporteerd en zo ja welke waarborgen hierbij zijn voorzien. Werkgever dient werknemer verder te informeren over het recht op rectificatie en het recht om een klacht in te dienen bij de privacy toezichthouder.
- Het recht van kopie is explicieter opgenomen. Werknemer kan op basis hiervan vragen om een kopie van het volledige personeelsdossier, mits dit recht op kopie geen afbreuk doet aan de rechten en vrijheden van anderen. Met andere woorden: de werkgever zal bij een verzoek tot afgifte kopie moeten nagaan of daarbij de privacy rechten van derden (zoals collega’s of klanten) niet worden geschonden.
- De AVG legt tevens wettelijk vast het ‘recht van vergetelheid’. Dit recht bestaat onder meer als de verwerking niet langer nodig is voor verwezenlijking van het doel, als de verwerking enkel berustte op de toestemming van de werknemer en de werknemer deze toestemming intrekt, als hij gegronde bezwaren maakt tegen de verwerking of als een rechtsgrond voor de verwerking ontbreekt. In dit kader mogen bijvoorbeeld cv’s van sollicitanten niet eindeloos worden bewaard.
- Het recht op beperking van de verwerking: de verwerking zal moeten worden beperkt indien de betreffende persoonsgegevens mogelijk onjuist zijn, de verwerking onrechtmatig is of de gegevens niet meer nodig zijn, terwijl de werknemer wel verlangt dat de werkgever deze gegevens bewaart. Daarnaast geldt dat, zodra de werknemer bezwaar maakt tegen de verwerking en de werkgever van mening is dat zijn gronden zwaarder wegen, de werkgever beperkt wordt in het verwerken van de betreffende gegevens totdat duidelijk is welke gronden zwaarder wegen.
Meer verplichtingen voor de werkgever:
- Informatieplicht: de werkgever is verplicht om de werknemer tijdig informatie te verschaffen omtrent de verwerking van diens persoonsgegevens, het doel van de verwerking, de contactgegevens van de eventueel aanwezige functionaris gegevensbescherming, de ‘verwerkers’ die in het kader van de arbeidsrelatie gegevens van de werknemer zullen verwerken, of de werkgever gegevens naar het buitenland zal transporteren en zo ja, welke waarborgen er zijn, waar de werknemer heen kan in geval van klachten. Ook dient de werkgever aan te geven hoe lang hij de gegevens zal bewaren en moet de informatie expliciet het recht bevatten dat een werknemer gegeven toestemming weer mag intrekken. Zo dient een werkgever bijvoorbeeld reeds bij het plaatsen van een vacature aan te geven wat er met de door de sollicitant verstrekte gegevens zal gebeuren.
- Introductie van de registratieplicht: werkgevers dienen een register bij te houden van hun verwerkingsactiviteiten, waarbij alle hiervoor bedoelde informatieverstrekking aan de werknemers ook voor de eigen administratie dient te worden vastgelegd. Deze plicht geldt volgens de AVG voor grotere ondernemingen (250 werknemers of meer), maar ook voor kleinere ondernemingen indien de verwerking van persoonsgegevens een hoog risico voor de betrokkenen met zich meebrengt of de verwerking niet-incidenteel is, of er sprake is van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten. Uit de recent verschenen Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming blijkt dat de meeste verwerkingen niet-incidenteel zijn, zodat vrijwel iedere onderneming een register dient bij te houden. Het bijhouden van een personeelsbestand is bijvoorbeeld een niet-incidentele verwerking, welke verwerkingsactiviteit moet worden bijgehouden in het register.
- De verplichting om een functionaris voor de gegevensverwerking aan te stellen. Deze verplichting geldt voor bedrijven indien (a) de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als hoofdtaak heeft verwerkingsactiviteiten uit te voeren, (b) de verwerking grootschalige, regelmatige en/of systematische observatie van betrokkenen vereist; of (c) indien de onderneming hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens.
- De verplichting om een verwerkersovereenkomst op de stellen met derden met wie persoonsgegevens worden uitgewisseld. Denk bijvoorbeeld aan een derde partij die de salarisadministratie verzorgt, een cloud-dienstverlener, of een leasemaatschappij. Afhankelijk van de rol van deze derden, zal een verwerkers- of samenwerkingsovereenkomst moeten worden opgesteld.
- De verplichting tot verbeterde beveiliging van persoonsgegevens. Dit betreft niet alleen beveiliging door wachtwoorden en beveiligde (internet)verbindingen, maar ook een intern beleid met betrekking tot de vraag wie toegang heeft tot welke gegevens.
- Tot slot, schrijft de AVG de meldplicht bij datalekken voor. Dit was in Nederland al sinds 1 januari 2016 verplicht. Concreet heeft dit tot gevolg dat als bijv. een werknemer een USB stick verliest, dit onder omstandigheden leidt tot de plicht tot melding aan de AP en eventueel aan de betrokkenen.
Andere relevante wijzigingen
Naast voornoemde uitbreiding van rechten voor de werknemer en verplichtingen voor de werkgever zijn er nog enkele andere relevante wijzigingen die impact hebben:
- De introductie van het ‘one-stop-shop’ principe: bij internationale situaties wordt er één leidende privacy toezichthouder aangesteld, te weten de toezichthouder van de lidstaat waar de hoofdvestiging van de groep ondernemingen ligt.
- Strengere regels voor verwerkers: werkgevers maken veelvuldig gebruik van derden die voor hen gegevens verwerken. Denk bijvoorbeeld aan pensioeninstanties, arbodiensten, salarisadministrateurs e.d. De AVG introduceert eigen plichten en verantwoordelijkheden voor deze derden. Werkgever doet er goed aan hierover duidelijke schriftelijke afspraken te maken.
- Last but not least: vele hogere sancties: zo kan bij niet naleving van de plicht tot het aanstellen van een functionaris voor de gegevensbescherming of de plicht tot het bijhouden van een verwerkingsregister de boete oplopen tot € 10 miljoen of, voor ondernemingen, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Het niet naleven van de basisbeginselen van de gegevensverwerking, verwerken van gegevens zonder grond of rechten van werknemers niet waarborgen, kan zelfs leiden tot een boete van maximaal € 20 miljoen of maximaal 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
Impact?
Anders dan de Wbp kent de AVG een hoog sanctieregime. De hoogte van de boetes doet vermoeden dat de Europese Commissie en de AP serieus zullen toezien op naleving ervan. Overtreding of niet naleving van de uitgangspunten van de AVG kan aldus forse financiële consequenties hebben.
Daarnaast zal een inbreuk op de AVG of het (bewust) niet voldoen aan deze verplichtingen ongetwijfeld leiden tot ‘naming and shaming’ van de organisatie. Het is daarom aan te bevelen te (laten) toetsen of uw organisatie en uw HR beleid privacy proof zijn, bijvoorbeeld met de privacytool die de privacyspecialisten van LXA The Law Firm voor u hebben ontwikkeld.
Enkele praktische tips voor aanpassing van uw HR beleid:
- Informeer de werknemer voor aanvang van de arbeidsovereenkomst op zijn privacy rechten, bijvoorbeeld middels een algemeen memo of overhandig een privacy protocol.
- Reageer binnen 1 maand op eventuele verzoeken van werknemer met betrekking tot de verwerking van zijn gegevens of personeelsdossier.
- Ben kritisch op de gegevens die worden verwerkt en de informatie die wordt toegevoegd aan het personeelsdossier.
- Baseer verwerking van gegevens niet (alleen) op toestemming van de werknemer, maar op andere wettelijke gronden.
Mocht u zich afvragen hoe kantonrechters omgaan met privacyaspecten bij de arbeidsrechtelijke beoordeling van bijv. een ontslagdossier, lees dan hier het artikel van Debbie van de Laar.
LXA The Law Firm heeft bovendien een tool ontwikkeld waarmee ondernemers op een praktische wijze worden begeleid bij het opstellen van een privacybeleid en de benodigde documentatie, zoals verwerkersovereenkomsten en interne protocollen. Voor meer informatie verwijzen wij u graag naar https://www.lxa.nl/nl/artikelen/privacy/nieuwe-lxa-compliance-tool-privacy/.
Mocht u over dit artikel vragen hebben of meer informatie wensen over de privacytool neem dan contact op met een van de advocaten van de sectie arbeidsrecht of privacy.