De HR professional en privacy – Deel III: de informatieplicht

 in Arbeidsrecht

 

Werkgevers beschikken over een grote hoeveelheid persoonsgegevens van hun werknemers. Denk aan gegevens in personeelsdossiers, ziekte- en verzuimgegevens, re-integratiegegevens en gegevens verkregen door monitoring. Op u als werkgever rust een belangrijke en omvangrijke informatieplicht jegens uw werknemers.

Welke informatie moet worden verstrekt?

Informatie die u in ieder geval moet verstrekken:

  • per persoonsgegeven het doel en de rechtsgrond van de verwerking
  • als de rechtsgrond is dat de verwerking noodzakelijk is voor de behartiging van gerechtvaardigde belangen de vermelding van deze belangen
  • de periode dat u de persoonsgegevens opslaat (de bewaartermijn)
  • dat de werknemer het recht heeft u te verzoeken om inzage in zijn persoonsgegevens die worden verwerkt
  • dat de werknemer het recht heeft u te verzoeken om persoonsgegevens te rectificeren, te wissen of de verwerking te beperken
  • dat de werknemer het recht heeft om bezwaar te maken tegen de verwerking van persoonsgegevens en het recht om gegevens over te dragen voor zover van toepassing
  • de contactgegevens van de functionaris voor gegevensbescherming (indien deze er is)
  • dat de werknemer het recht heeft klachten in te dienen bij een toezichthoudende autoriteit
  • of u de persoonsgegevens doorgeeft aan het buitenland en welke waarborgen dan gelden

Als werkgever zult u aan de hand van een informatiebrief of privacy statement uw werknemers actief en periodiek moeten informeren. De informatie moet toegankelijk en begrijpelijk zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn. Deze informatieplicht heeft ook betrekking op wijzigingen en/of aanvullingen. Als de gegevens niet van de werknemer zelf zijn verkregen, hoeft deze informatie niet te worden verstrekt als dat onmogelijk blijkt of onevenredig veel inspanning zou vergen. Hier wordt niet snel aan voldaan.

Registratieplicht

Heeft u als werkgever 250 of meer werknemers in dienst, verwerkt u op grote schaal persoonsgegevens of verwerkt u bijzondere persoonsgegevens, dan geldt een registratieplicht. U moet dan zelf een register bijhouden van al uw verwerkingsactiviteiten. In dit register moeten bijvoorbeeld per verwerking de doeleinden hiervan staan, de bewaartermijnen en of er persoonsgegevens worden doorgegeven aan derde landen. Heeft u minder dan 250 werknemers in dienst, maar voert u bijvoorbeeld periodiek assessments uit of bent u een werving- en selectiebureau of arbodienst, dan bent u toch verplicht om een register bij te houden.

Recht van inzage

Werknemers hebben het recht om van hun werkgever kosteloos uitsluitsel te verkrijgen over de persoonsgegevens die worden verwerkt en om hier inzage in te verkrijgen. De werknemer heeft recht op een kopie van de persoonsgegevens die worden verwerkt. De informatie moet “onverwijld” aan de werknemer worden verstrekt en in ieder geval binnen een maand na ontvangst van het verzoek. Alleen bij complexe verzoeken kan er sprake zijn van een verlenging. Wanneer verzoeken van werknemers ongegrond of buitensporig zijn, mag de werkgever om een redelijke vergoeding vragen of weigeren gevolg te geven aan het verzoek.

Het recht van inzage betekent dat de administratie met betrekking tot de verwerking van persoonsgegevens op orde moet zijn. Verder is het voor werkgevers noodzakelijk om zich te realiseren dat alle persoonsgegevens die worden verwerkt door een werknemer opgevraagd kunnen worden. “In stilte” een personeelsdossier opbouwen, is dus risicovol.

Rectificatie en “recht op vergetelheid”

Zijn de persoonsgegevens onjuist of onvolledig, dan heeft de werknemer het recht op onverwijlde rectificatie. Ook heeft de werknemer – zonder onredelijke vertraging – het recht op het wissen van zijn persoonsgegevens als bijvoorbeeld de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of wanneer deze onrechtmatig zijn verwerkt.

Doorgifte aan derde landen

Bij ondernemingen waarbij de moeder zich in het buitenland bevindt, worden met regelmaat persoonsgegevens aan “derde landen” doorgegeven. Bijvoorbeeld om tot uitvoering en uitkering van bonusregelingen te kunnen komen. Doorgifte mag echter alleen als aan de waarborgen in de privacy verordening is voldaan. Dit is onder andere het geval wanneer de Commissie heeft besloten dat het derde land een passend beschermingsniveau waarborgt. De Commissie heeft op haar website en in het Publicatieblad van de Europese Unie een lijst bekend gemaakt met deze landen. Denk in dit kader ook aan Standard Contract Clauses, Binding Corporate Rules en de Privacy Shield.

Conclusie

Op u als werkgever rust een vergaande, actieve informatieplicht. U kunt hieraan voldoen door uw werknemers te informeren met een informatiebrief of privacy statement. Verder dient u rekening te houden met het recht van inzage. Uw administratie en dossiers dienen hierop ingericht zijn en het is belangrijk om er rekening mee te houden dat u geen gegevens mag achterhouden. Na een verzoek om inzage kan een personeelsdossier dus “op straat” liggen. Mocht u persoonsgegevens doorgeven aan derde landen, dan dient u er zeker van te zijn dat er sprake is van een passend beschermingsniveau.

Deel IV: DPO volgt over twee weken

Recent Posts
  • 26 april 2018

    Moet aanzeggen nu wél of niet schriftelijk?

    Marion Hagenaars
    Het lijkt zo eenvoudig: de werkgever informeert de werknemer schriftelijk uiterlijk een maand voordat een arbeidsovereenkomst voor bepaalde tijd van rechtswege eindigt over het al dan niet voortzetten van de arbeidsovereenkomst. Doet hij dit niet, dan is hij aan de werknemer een vergoeding verschuldigd. Waarom ontstaat er dan toch zo vaak discussie tussen werkgever en
    Lees verder
  • 19 maart 2018

    Wie bepaalt noodzaak en inhoud verbetertraject: werkgever of medewerker?

    Marion Hagenaars
    Voor de HR-professional een bekend verschijnsel: disfunctioneren. Met de aantrekkende arbeidsmarkt waardoor het vinden van geschikte kandidaten een uitdaging is, is de disfunctionerende medewerker voor de HR-professional een belangrijk agendapunt. Dit geldt zeker binnen de IT-branche. Maar wie bepaalt of een verbetertraject noodzakelijk is? En waar moet een goed verbetertraject aan voldoen?
    Lees verder
  • 13 maart 2018

    De HR professional en privacy – Deel VII: persoonsgegevens delen met derden

    Marion Hagenaars
    Evelien van den Berg
    Personeelsgegevens die u als werkgever verkregen heeft, mag u niet zomaar doorgeven aan personen of instanties buiten uw organisatie. Denk daarbij bijvoorbeeld aan de Belastingdienst, het UWV, het pensioenfonds of uw advocaat. Verstrekken van personeelsgegevens aan derden Als werkgever verwerkt u persoonsgegevens en daarop is de AVG van toepassing. U bent dan verwerkingsverantwoordelijke en dat
    Lees verder

Plaats een reactie