De HR professional en privacy – Deel VII: persoonsgegevens delen met derden

 in Arbeidsrecht, IT-recht

Personeelsgegevens die u als werkgever verkregen heeft, mag u niet zomaar doorgeven aan personen of instanties buiten uw organisatie. Denk daarbij bijvoorbeeld aan de Belastingdienst, het UWV, het pensioenfonds of uw advocaat.

Verstrekken van personeelsgegevens aan derden

Als werkgever verwerkt u persoonsgegevens en daarop is de AVG van toepassing. U bent dan verwerkingsverantwoordelijke en dat betekent dat onder andere aan de volgende vereisten moet worden voldaan.

Zo moet u een grondslag genoemd in de AVG hebben om persoonsgegevens te mogen verwerken. Wij bespraken dit eerder kort in deel II. Met betrekking tot personeelsgegevens zijn vooral de volgende mogelijke grondslagen relevant:

  • verwerking noodzakelijk voor de uitvoering van de arbeidsovereenkomst
  • wettelijke verplichting van de werkgever
  • gerechtvaardigd belang van de werkgever bij verwerking
  • toestemming van de werknemer

Toestemming van de werknemer vormt een erg onzekere verwerkingsgrond. De toestemming moet namelijk vrij gegeven zijn. Gezien de afhankelijkheidsrelatie tussen werkgever en werknemer zal hier in bijna geen enkel geval sprake van zijn. In de meeste gevallen moet u dus een van de andere drie grondslagen hebben.

Verder moet u op grond van de AVG bepalen en vastleggen voor welk doel u persoonsgegevens verzamelt. U mag de gegevens vervolgens alleen voor dat doel verwerken of een doel dat daarmee verenigbaar is.

Indien u de persoonsgegevens vervolgens aan een derde verstrekt, moet u vaststellen of deze derde een verwerker of verwerkingsverantwoordelijke is. Een verwerker handelt op basis van instructies van u als verwerkingsverantwoordelijke en bepaalt geen eigen doel en grondslag. Met een verwerker dient een verwerkersovereenkomst gesloten te worden. Een verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen van de verwerking en dient dus een eigen grondslag te hebben, zoals bijvoorbeeld uw advocaat.

Doorgifte naar het buitenland

Hoe zit het met het doorgeven van personeelsgegevens aan een partij in het buitenland?

Voor zover voldaan wordt aan de vereisten van de AVG voor doorgifte van persoonsgegevens zoals hierboven genoemd, is dit binnen de EU of EER toegestaan. Indien het een derde partij van buiten de EU of de EER betreft (een “derde land”) is doorgifte echter niet zomaar toegestaan. Er gelden dan aanvullende eisen. In de volgende gevallen is doorgifte onder andere toegestaan:

  • de andere partij is gevestigd in een land dat de Europese Commissie heeft aangemerkt als een land met een passend beschermingsniveau. Op de website van de Europese Commissie staat een lijst met deze landen. Voor de Verenigde Staten geldt dat er enkel een passend beschermingsniveau is indien en zolang de ontvangende partij zich verplicht heeft te houden aan het zogenaamde “Privacy Shield” (dit is een overeenkomst tussen de Verenigde Staten en de EU over de manier waarop persoonsgegevens worden verwerkt en beveiligd). Voor Canada geldt dat alleen bepaalde delen van dit land een passend beschermingsniveau bieden;
  • gebruik van standaard contractbepalingen die zijn vastgesteld door de Europese Commissie of de Autoriteit Persoonsgegevens. Deze bepalingen moeten ongewijzigd worden overgenomen in het contract dat gesloten wordt met de partij in het derde land.

Ook binnen een concern?

Gelden deze regels ook indien de persoonsgegevens worden doorgegeven aan een andere vestiging van hetzelfde concern in het buitenland?

In concernverband gelden dezelfde bovengenoemde regels voor doorgifte naar het buitenland. In aanvulling daarop bestaat er binnen concerns de mogelijkheid bindende bedrijfsvoorschriften (ook wel Binding Corporate Rules) vast te stellen. Dit zijn regels waar alle ondernemingen binnen het concern aan gebonden zijn. Deze voorschriften dienen te voldoen aan de eisen die de AVG hieraan stelt, zoals goedkeuring van de voorschriften door de bevoegde toezichthouder binnen de EU.

Conclusie

Het is belangrijk alert te zijn op de vraag aan wie zowel binnen als buiten uw organisatie personeelsgegevens worden doorgegeven en of dit op grond van de AVG wel mag. Indien in strijd met de AVG gehandeld wordt, kunnen fikse boetes opgelegd worden tot maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet.

 

Deel VIII: monitoren van werknemers, volgt over twee weken.

 

Recente berichten
  • 27 december 2023

    Europe’s AI Act: The genie still out of the bottle?

    Emmely Schaaphok
    “The genie is out of the bottle. We need to move forward on artificial intelligence development but we also need to be mindful of its very real dangers. I fear that AI may replace humans altogether.” This quote from Stephen Hawking in 2017 is more relevant today than ever.
    Lees verder
  • 4 april 2023

    INPLP Activity Report 2022

    Bob Cordemeyer
    Hereunder you can read the Activity Report 2022 from our network INPLP (International Network of Privacy Law Professionals) of which our firm is a founding member since 2015.
    Lees verder
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder

Plaats een reactie

Top