De HR professional en privacy – Deel VII: persoonsgegevens delen met derden

 in Arbeidsrecht, IT-recht

Personeelsgegevens die u als werkgever verkregen heeft, mag u niet zomaar doorgeven aan personen of instanties buiten uw organisatie. Denk daarbij bijvoorbeeld aan de Belastingdienst, het UWV, het pensioenfonds of uw advocaat.

Verstrekken van personeelsgegevens aan derden

Als werkgever verwerkt u persoonsgegevens en daarop is de AVG van toepassing. U bent dan verwerkingsverantwoordelijke en dat betekent dat onder andere aan de volgende vereisten moet worden voldaan.

Zo moet u een grondslag genoemd in de AVG hebben om persoonsgegevens te mogen verwerken. Wij bespraken dit eerder kort in deel II. Met betrekking tot personeelsgegevens zijn vooral de volgende mogelijke grondslagen relevant:

  • verwerking noodzakelijk voor de uitvoering van de arbeidsovereenkomst
  • wettelijke verplichting van de werkgever
  • gerechtvaardigd belang van de werkgever bij verwerking
  • toestemming van de werknemer

Toestemming van de werknemer vormt een erg onzekere verwerkingsgrond. De toestemming moet namelijk vrij gegeven zijn. Gezien de afhankelijkheidsrelatie tussen werkgever en werknemer zal hier in bijna geen enkel geval sprake van zijn. In de meeste gevallen moet u dus een van de andere drie grondslagen hebben.

Verder moet u op grond van de AVG bepalen en vastleggen voor welk doel u persoonsgegevens verzamelt. U mag de gegevens vervolgens alleen voor dat doel verwerken of een doel dat daarmee verenigbaar is.

Indien u de persoonsgegevens vervolgens aan een derde verstrekt, moet u vaststellen of deze derde een verwerker of verwerkingsverantwoordelijke is. Een verwerker handelt op basis van instructies van u als verwerkingsverantwoordelijke en bepaalt geen eigen doel en grondslag. Met een verwerker dient een verwerkersovereenkomst gesloten te worden. Een verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen van de verwerking en dient dus een eigen grondslag te hebben, zoals bijvoorbeeld uw advocaat.

Doorgifte naar het buitenland

Hoe zit het met het doorgeven van personeelsgegevens aan een partij in het buitenland?

Voor zover voldaan wordt aan de vereisten van de AVG voor doorgifte van persoonsgegevens zoals hierboven genoemd, is dit binnen de EU of EER toegestaan. Indien het een derde partij van buiten de EU of de EER betreft (een “derde land”) is doorgifte echter niet zomaar toegestaan. Er gelden dan aanvullende eisen. In de volgende gevallen is doorgifte onder andere toegestaan:

  • de andere partij is gevestigd in een land dat de Europese Commissie heeft aangemerkt als een land met een passend beschermingsniveau. Op de website van de Europese Commissie staat een lijst met deze landen. Voor de Verenigde Staten geldt dat er enkel een passend beschermingsniveau is indien en zolang de ontvangende partij zich verplicht heeft te houden aan het zogenaamde “Privacy Shield” (dit is een overeenkomst tussen de Verenigde Staten en de EU over de manier waarop persoonsgegevens worden verwerkt en beveiligd). Voor Canada geldt dat alleen bepaalde delen van dit land een passend beschermingsniveau bieden;
  • gebruik van standaard contractbepalingen die zijn vastgesteld door de Europese Commissie of de Autoriteit Persoonsgegevens. Deze bepalingen moeten ongewijzigd worden overgenomen in het contract dat gesloten wordt met de partij in het derde land.

Ook binnen een concern?

Gelden deze regels ook indien de persoonsgegevens worden doorgegeven aan een andere vestiging van hetzelfde concern in het buitenland?

In concernverband gelden dezelfde bovengenoemde regels voor doorgifte naar het buitenland. In aanvulling daarop bestaat er binnen concerns de mogelijkheid bindende bedrijfsvoorschriften (ook wel Binding Corporate Rules) vast te stellen. Dit zijn regels waar alle ondernemingen binnen het concern aan gebonden zijn. Deze voorschriften dienen te voldoen aan de eisen die de AVG hieraan stelt, zoals goedkeuring van de voorschriften door de bevoegde toezichthouder binnen de EU.

Conclusie

Het is belangrijk alert te zijn op de vraag aan wie zowel binnen als buiten uw organisatie personeelsgegevens worden doorgegeven en of dit op grond van de AVG wel mag. Indien in strijd met de AVG gehandeld wordt, kunnen fikse boetes opgelegd worden tot maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet.

 

Deel VIII: monitoren van werknemers, volgt over twee weken.

 

Recente berichten
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder
  • 15 maart 2022

    (IT) detacheerders wees scherp op het relatie- en concurrentiebeding!

    Marion Hagenaars
    Werknemers die uit dienst treden om aansluitend (dezelfde) werkzaamheden te gaan verrichten voor de opdrachtgever waar ze eerder gedetacheerd waren. Een ongewenst scenario dat vaak voorkomt. Door het belemmeringsverbod kan de werkgever geen beroep doen op een concurrentie- en relatiebeding. Als deze bedingen ook nog eens niet juist zijn opgesteld – omdat ze geen rekening
    Lees verder
  • 1 februari 2022

    Ongewenst gedrag op de werkvloer – regels en consequent beleid

    Marion Hagenaars
    Door The Voice moest ik weer even terugdenken aan de voorbeelden in mijn eigen praktijk. De afgelopen jaren heb ik van alles voorbij zien komen: van seksueel getinte en discriminerende “grappen” in App-groepen tot porno kijkende collega’s een bureau verder en aanvankelijk gewenste relaties op het werk die volledig escaleren. De impact is vaak groot
    Lees verder

Plaats een reactie

Top