De General Data Protection Regulation wordt van toepassing

Nog 492 dagen

General
Data
Protection
Regulation
Wat verandert er voor uw HR-beleid?

Wat?

Wat betekent dit voor uw bedrijf?

Iedere werkgever verwerkt op grote schaal persoonsgegevens van zijn personeel.

Persoonsgegevens’ is een verzamelnaam voor alle informatie op basis waarvan een persoon direct of indirect kan worden geïdentificeerd, zoals de naam, het adres, het rijksregisternummer, de loongegevens, het online profiel, de login-gegevens, enzovoort.

Het concept ‘verwerken’ wordt zo ruim gedefinieerd dat zo goed als elke bewerking van persoonsgegevens als een verwerking ervan wordt beschouwd. Denk maar aan het verzamelen, vastleggen, opslaan, bijwerken, wijzigen, raadplegen, gebruiken, doorzenden, verspreiden, wissen, enzovoort. Voorwaarde is wel dat de verwerking minstens gedeeltelijk geautomatiseerd verloopt of, indien dat niet het geval is, de persoonsgegevens bedoeld zijn om in een bestand te worden opgenomen.

Bevestiging en versterking bestaande principes

Voor een groot stuk bevestigt de Verordening de bestaande principes, bijvoorbeeld wat de beginselen voor een aanvaardbare, rechtmatige en beveiligde verwerking van persoonsgegevens betreft. Ook de basisregels voor de overdracht van persoonsgegevens naar landen buiten Europa blijven grotendeels overeind. Verder worden de bestaande rechten en plichten versterkt. Daarbij kan gedacht worden aan het recht van een werknemer om toegang te krijgen tot zijn persoonsgegevens en deze te verbeteren, te laten wissen (het zgn. ‘right to be forgotten’) of - voortaan ook - over te dragen naar een derde (‘data portability’). Maar ook de plicht van de werkgever om de gegevens op een zo veilig mogelijke manier te verwerken, daarbij gebruik makend van technieken zoals het anonimiseren, pseudonimiseren of encrypteren van gegevens, wordt versterkt (‘data protection by design and by default’). Werkgevers zullen ook nog steeds contracten moeten aangaan met ondernemingen die in hun opdracht gegevens gaan verwerken (bvb. sociale secretariaten, externe IT dienstverleners, verzekeraars,...). De verwerkers zelf dragen onder de Verordening wel een grotere verantwoordelijkheid voor een veilige verwerking dan dat vandaag de dag het geval is.

Het "one-stop-shop" principe

Bedrijven die zaken doen in verschillende Europese lidstaten zullen voortaan nog maar met één centraal loket moeten werken, daar waar zij voorheen in elke lidstaat afzonderlijk moesten nagaan welke acties zij moesten nemen.

Uitbreiding informatieverplichting

Onder de huidige regels (2016) is het al zo dat de werkgever (kandidaat-)werknemers moet inlichten over bepaalde zaken wanneer hij hun persoonsgegevens verwerkt. Zo moeten de betrokkenen bijvoorbeeld weten voor welke doeleinden hun gegevens worden verwerkt, aan wie de gegevens worden meegedeeld en tot wie zij zich kunnen wenden om hun rechten uit te oefenen.

Deze informatieverplichting wordt verder uitgebreid onder de Verordening.

Zo zal de werkgever voortaan, naast de informatie die nu al verplicht is, moeten aangeven wat de rechtsgrond is waarop hij zich baseert om de gegevens te verwerken.

Persoonsgegevens van werknemers worden in de context van de arbeidsrelatie vaak verwerkt omdat dit kadert binnen de gerechtvaardigde belangen van de werkgever. Dit is één van de mogelijke gronden op basis waarvan gegevens verwerkt kunnen worden. De Verordening verplicht de werkgever nu om dit gerechtvaardigd belang te gaan omschrijven in de informatie.

Ook zullen de werkgevers voortaan op voorhand te kennen moeten geven of zij van plan zijn om gegevens buiten Europa door te sturen, hoe lang de gegevens bewaard zullen worden, dat de betrokkene het recht heeft om een klacht in te dienen bij de Privacycommissie, dat de betrokkene zijn toestemming kan intrekken (indien de verwerking - al dan niet gedeeltelijk - daarop is gebaseerd), wie de ‘Data Protection Officer’ is (als er één is), enzovoort.

Deze uitgebreidere informatie moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moeten worden gegeven. De informatie wordt in de regel schriftelijk of elektronisch verstrekt.

Toestemming als rechtsgrond voor de verwerking

De toestemming van een werknemer is ook onder de huidige wetgeving een mogelijke rechtsgrond om persoonsgegevens te verwerken. Desalniettemin heeft er steeds discussie bestaan of een werknemer zijn toestemming wel ‘vrij’ kan geven.

Hoewel de Verordening de toestemming als rechtsgrond behoudt, legt deze wel striktere voorwaarden op aan die toestemming.

Deze moet vrij, specifiek, op informatie berustend en ondubbelzinnig zijn en in een duidelijke en begrijpbare taal worden geschreven. De werkgever zal in voorkomend geval moeten aantonen dat een werknemer zijn toestemming heeft gegeven. Enkel een uitdrukkelijke toestemming zal daarom nog nuttig zijn. De werknemer heeft ook het recht te allen tijde zijn toestemming in te trekken.

Wij adviseren daarom om toestemming, indien mogelijk, als een bijkomende rechtsgrond te voorzien, maar ervoor te zorgen dat je als werkgever ook over een andere wettelijke basis beschikt om de persoonsgegevens te verwerken.

Documentatieplicht

Ondernemingen die 250 personen of meer tewerkstellen moeten vanaf de inwerkingtreding van de Verordening wellicht geen aangifte meer doen bij de Privacycommissie, maar zullen wel een geschreven of elektronisch register moeten bijhouden van alle verwerkingsactiviteiten die onder hun verantwoordelijkheid gebeuren. Dit register moet een aantal verplichte vermeldingen bevatten en moet, op het verzoek van de Privacycommissie, kunnen worden voorgelegd. Indien een onderneming minder dan 250 werknemers tewerkstelt, zal dit register ook moeten worden opgesteld indien de verwerking van persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen, niet incidenteel gebeurt of indien er gevoelige gegevens worden verwerkt.

Verplichte aanstelling van een "Data Protection Officer" voor sommige ondernemingen

Sommige werkgevers, zoals publieke overheden of ondernemingen waarvan de hoofdactiviteit bestaat in het verwerken van persoonsgegevens of gevoelige gegevens, zullen verplicht zijn om een zgn. ‘functionaris voor gegevensbescherming’ (‘data protection officer’) aan te stellen. Dit kan een werknemer zijn, maar even goed een zelfstandige dienstverlener. Deze persoon zal de werkgever advies kunnen geven over welke maatregelen er moeten worden genomen in het licht van de nieuwe Verordening en zal ook toezien op de naleving van de principes van de Verordening. Deze functionaris moet op een onafhankelijke manier kunnen fungeren binnen de onderneming. Hij moet rapporteren aan het hoogste managementniveau en mag niet ontslagen worden om redenen die verband houden met de uitoefening van zijn functie.

Meldingsplicht van inbreuken

Indien de persoonsgegevens van werknemers dreigen in verkeerde handen terecht te komen, bijvoorbeeld doordat iemand de gegevens heeft gehackt of door een menselijke fout of een fout in een systeem, zal de werkgever voortaan in sommige gevallen verplicht zijn om dit te melden aan de Privacycommissie en ook aan de betrokkene zelf. Denk maar aan een werknemer wiens laptop gestolen wordt waarop persoonsgegevens staan of een e-mail die persoonsgegevens bevat en die per vergissing naar het verkeerde adres worden verstuurd. Een policy die de verschillende mogelijke situaties en de daaraan gekoppelde acties uiteenzet, kan nuttig zijn.

Hoger sanctierisico

Het naleven van de regels inzake de verwerking van persoonsgegevens is naar ons aanvoelen vandaag de dag geen topprioriteit van werkgevers op de Belgische markt. Dit heeft onder andere te maken met het feit dat er, in tegenstelling tot sommige van onze buurlanden, in België geen reëel sanctierisico bestaat onder de huidige wetgeving. Er zijn wel strafsancties voorzien, maar deze worden in de praktijk zelden of nooit toegepast. De Belgische toezichthoudende autoriteit, de Privacycommissie, bezit ook geen sanctionerende bevoegdheden.

Dit zal drastisch veranderen onder de nieuwe Verordening.

Werknemers zullen een klacht kunnen indienen bij de Privacycommissie en kunnen een schadeclaim indienen bij de rechtbank.

Voortaan zullen bedrijven die de regels aan hun laars lappen, door de Privacycommissie zwaar beboet kunnen worden met administratieve geldboetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van een onderneming.