Werkgevers beschikken over een grote hoeveelheid persoonsgegevens van hun werknemers. Denk aan gegevens in personeelsdossiers, ziekte- en verzuimgegevens, re-integratiegegevens en gegevens verkregen door monitoring. Op u als werkgever rust een belangrijke en omvangrijke informatieplicht jegens uw werknemers.

Welke informatie moet worden verstrekt?

Informatie die u in ieder geval moet verstrekken:

• per persoonsgegeven het doel en de rechtsgrond van de verwerking
• als de rechtsgrond is dat de verwerking noodzakelijk is voor de behartiging van gerechtvaardigde belangen de vermelding van deze belangen
• de periode dat u de persoonsgegevens opslaat (de bewaartermijn)
• dat de werknemer het recht heeft u te verzoeken om inzage in zijn persoonsgegevens die worden verwerkt
• dat de werknemer het recht heeft u te verzoeken om persoonsgegevens te rectificeren, te wissen of de verwerking te beperken
• dat de werknemer het recht heeft om bezwaar te maken tegen de verwerking van persoonsgegevens en het recht om gegevens over te dragen voor zover van toepassing
• de contactgegevens van de functionaris voor gegevensbescherming (indien deze er is)
• dat de werknemer het recht heeft klachten in te dienen bij een toezichthoudende autoriteit
• of u de persoonsgegevens doorgeeft aan het buitenland en welke waarborgen dan gelden

Als werkgever zult u aan de hand van een informatiebrief of privacy statement uw werknemers actief en periodiek moeten informeren. De informatie moet toegankelijk en begrijpelijk zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn. Deze informatieplicht heeft ook betrekking op wijzigingen en/of aanvullingen. Als de gegevens niet van de werknemer zelf zijn verkregen, hoeft deze informatie niet te worden verstrekt als dat onmogelijk blijkt of onevenredig veel inspanning zou vergen. Hier wordt niet snel aan voldaan.

Registratieplicht

Heeft u als werkgever 250 of meer werknemers in dienst, verwerkt u op grote schaal persoonsgegevens of verwerkt u bijzondere persoonsgegevens, dan geldt een registratieplicht. U moet dan zelf een register bijhouden van al uw verwerkingsactiviteiten. In dit register moeten bijvoorbeeld per verwerking de doeleinden hiervan staan, de bewaartermijnen en of er persoonsgegevens worden doorgegeven aan derde landen. Heeft u minder dan 250 werknemers in dienst, maar voert u bijvoorbeeld periodiek assessments uit of bent u een werving- en selectiebureau of arbodienst, dan bent u toch verplicht om een register bij te houden.

Recht van inzage

Werknemers hebben het recht om van hun werkgever kosteloos uitsluitsel te verkrijgen over de persoonsgegevens die worden verwerkt en om hier inzage in te verkrijgen. De werknemer heeft recht op een kopie van de persoonsgegevens die worden verwerkt. De informatie moet “onverwijld” aan de werknemer worden verstrekt en in ieder geval binnen een maand na ontvangst van het verzoek. Alleen bij complexe verzoeken kan er sprake zijn van een verlenging. Wanneer verzoeken van werknemers ongegrond of buitensporig zijn, mag de werkgever om een redelijke vergoeding vragen of weigeren gevolg te geven aan het verzoek.

Het recht van inzage betekent dat de administratie met betrekking tot de verwerking van persoonsgegevens op orde moet zijn. Verder is het voor werkgevers noodzakelijk om zich te realiseren dat alle persoonsgegevens die worden verwerkt door een werknemer opgevraagd kunnen worden. “In stilte” een personeelsdossier opbouwen, is dus risicovol.

Rectificatie en “recht op vergetelheid”

Zijn de persoonsgegevens onjuist of onvolledig, dan heeft de werknemer het recht op onverwijlde rectificatie. Ook heeft de werknemer – zonder onredelijke vertraging – het recht op het wissen van zijn persoonsgegevens als bijvoorbeeld de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of wanneer deze onrechtmatig zijn verwerkt.

Doorgifte aan derde landen

Bij ondernemingen waarbij de moeder zich in het buitenland bevindt, worden met regelmaat persoonsgegevens aan “derde landen” doorgegeven. Bijvoorbeeld om tot uitvoering en uitkering van bonusregelingen te kunnen komen. Doorgifte mag echter alleen als aan de waarborgen in de privacy verordening is voldaan. Dit is onder andere het geval wanneer de Commissie heeft besloten dat het derde land een passend beschermingsniveau waarborgt. De Commissie heeft op haar website en in het Publicatieblad van de Europese Unie een lijst bekend gemaakt met deze landen. Denk in dit kader ook aan Standard Contract Clauses, Binding Corporate Rules en de Privacy Shield.

Conclusie

Op u als werkgever rust een vergaande, actieve informatieplicht. U kunt hieraan voldoen door uw werknemers te informeren met een informatiebrief of privacy statement. Verder dient u rekening te houden met het recht van inzage. Uw administratie en dossiers dienen hierop ingericht zijn en het is belangrijk om er rekening mee te houden dat u geen gegevens mag achterhouden. Na een verzoek om inzage kan een personeelsdossier dus “op straat” liggen. Mocht u persoonsgegevens doorgeven aan derde landen, dan dient u er zeker van te zijn dat er sprake is van een passend beschermingsniveau.

Deel IV: DPO volgt over twee weken