Wat verandert er voor uw HR-beleid?

Wat?

Wat betekent dit voor uw bedrijf?

Vrijwel iedere onderneming verwerkt op grote schaal persoonsgegevens van verschillende categorieën personen: werknemers, sollicitanten, (contactpersonen bij) klanten en leveranciers, consultants, consumenten, website bezoekers, ...

‘Persoonsgegevens’ is een verzamelnaam voor alle informatie op basis waarvan een persoon direct of indirect kan worden geïdentificeerd, zoals de naam, het adres, het e-mail adres, het rijksregisternummer, de loongegevens, het online profiel, het IP adres, de login-gegevens, enzovoort.

Het concept ‘verwerken’ wordt zo ruim gedefinieerd dat zo goed als elke bewerking van persoonsgegevens als een verwerking ervan wordt beschouwd. Denk maar aan het verzamelen, vastleggen, opslaan, bijwerken, wijzigen, raadplegen, gebruiken, doorzenden, verspreiden, wissen, enzovoort. Voorwaarde is wel dat de verwerking minstens gedeeltelijk geautomatiseerd verloopt of, indien dat niet het geval is, de persoonsgegevens bedoeld zijn om in een bestand te worden opgenomen.

Bevestiging en versterking bestaande principes

Voor een groot stuk bevestigt de GDPR de bestaande principes, bijvoorbeeld wat de beginselen voor een aanvaardbare, rechtmatige en beveiligde verwerking van persoonsgegevens betreft. Ook de basisregels voor de overdracht van persoonsgegevens naar landen buiten Europa blijven grotendeels overeind. Verder worden de bestaande rechten en plichten versterkt. Daarbij kan gedacht worden aan het recht van een persoon om toegang te krijgen tot zijn persoonsgegevens en deze te verbeteren, te laten wissen (het zgn. ‘right to be forgotten’) of - voortaan ook - over te dragen naar een derde (‘data portability’). Maar ook de plicht van ondernemingen om de gegevens op een zo veilig mogelijke manier te verwerken, daarbij gebruik makend van technieken zoals het anonimiseren, pseudonimiseren of encrypteren van gegevens, wordt versterkt (‘data protection by design and by default’). Verwerkingsverantwoordelijken zullen ook nog steeds contracten moeten aangaan met ondernemingen die in hun opdracht gegevens gaan verwerken (bvb. sociale secretariaten, externe IT dienstverleners,...). De verwerkers zelf dragen onder de GDPR wel een grotere verantwoordelijkheid voor een veilige verwerking dan dat vandaag de dag het geval is.

Het "one-stop-shop" principe

Bedrijven met één of meer vestigingen in de Europese Unie die  grensoverschrijdende verwerkingen van persoonsgegevens uitvoeren in verschillende Europese lidstaten zullen voortaan nog maar met één centraal loket moeten werken, daar waar zij voorheen in elke lidstaat afzonderlijk moesten nagaan welke acties zij moesten nemen. De toezichthoudende autoriteit van de lidstaat waar de hoofdvestiging ligt, zal in dat geval de “leidende toezichthoudende autoriteit” zijn.

Uitbreiding informatieverplichting

Onder de ’oude’ wetgeving inzake gegevensbescherming was het al zo dat de verwerkingsverantwoordelijke de betrokkenen moest inlichten over bepaalde zaken wanneer hij hun persoonsgegevens verwerkte. Zo moesten de betrokkenen bijvoorbeeld reeds de volgende informatie krijgen:  Voor welke doeleinden worden mijn gegevens verwerkt? Aan wie worden mijn gegevens meegedeeld? Tot wie kan ik mij wenden om mijn rechten uit te oefenen?

Deze informatieverplichting is verder uitgebreid onder de GDPR.

Zo zal een onderneming voortaan, naast de informatie die reeds verplicht was, moeten aangeven wat de rechtsgrond is waarop hij zich baseert om de gegevens te verwerken. Dit kan bvb. een wettelijke verplichting, de toestemming van de betrokkene of de noodzaak voor de uitvoering van een contract met de betrokkene zijn. Daarnaast zal een onderneming zich ook vaak op de restcategorie van het gerechtvaardigd belang kunnen beroepen.De Verordening verplicht ondernemingen nu om dit gerechtvaardigd belang te gaan omschrijven in de informatie, en hiervoor een zogenaamde balancing test uit te voeren.

Ook zullen ondernemingen voortaan op voorhand te kennen moeten geven of zij van plan zijn om gegevens buiten Europa door te sturen, hoe lang de gegevens bewaard zullen worden, dat de betrokkene het recht heeft om een klacht in te dienen bij de Gegevensbeschermingsautoriteit, dat de betrokkene zijn toestemming kan intrekken (indien de verwerking - al dan niet gedeeltelijk - daarop is gebaseerd), wie de ‘Data Protection Officer’ is (als er één is), enzovoort.

Deze uitgebreidere informatie moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gegeven. De informatie wordt in de regel schriftelijk of elektronisch verstrekt.

Toestemming als rechtsgrond voor de verwerking

De toestemming van een betrokkene was onder de ‘oude’ wetgeving reeds een mogelijke rechtsgrond om persoonsgegevens te verwerken. Desalniettemin heeft er steeds discussie bestaan of een werknemer - in het kader van een arbeidsrelatie - zijn toestemming wel ‘vrij’ kan geven.

Hoewel de Verordening de toestemming als rechtsgrond behoudt, legt deze wel striktere voorwaarden op aan die toestemming.

Deze moet vrij, specifiek, op informatie berustend en ondubbelzinnig zijn en in een duidelijke en begrijpbare taal worden geschreven. De onderneming zal in voorkomend geval moeten aantonen dat een persoon zijn toestemming heeft gegeven. Enkel een uitdrukkelijke toestemming zal daarom nog nuttig zijn. De betrokkene heeft ook het recht te allen tijde zijn toestemming in te trekken.

Toestemming is bijgevolg een minder solide rechtsgrond geworden, en wij adviseren daarom om, indien mogelijk, een beroep te doen op een andere rechtsgrond om persoonsgegevens te verwerken.

Documentatieplicht

Onder de GDPR zullen heel wat ondernemingen de verplichting hebben om een register bij te houden van al hun verwerkingsactiviteiten. Het register heeft de vroegere aangifteplicht bij de voormalige Privacycommissie vervangen. Uit een aanbeveling van de Gegevensbeschermingsautoriteit blijkt dat deze registerplicht zeer ruim is en op zo goed als alle ondernemingen van toepassing is. Dit register moet een aantal verplichte vermeldingen bevatten en moet, op het verzoek van de Gegevensbeschermingsautoriteit, kunnen worden voorgelegd.

Verplichte aanstelling van een "Data Protection Officer" voor sommige ondernemingen

Sommige ondernemingen en entiteiten, zoals publieke overheden of ondernemingen waarvan de hoofdactiviteit bestaat in het verwerken van persoonsgegevens of gevoelige gegevens, zijn verplicht zijn om een zgn. ‘functionaris voor gegevensbescherming’ (‘data protection officer’) aan te stellen. Dit kan een werknemer zijn, maar even goed een zelfstandige dienstverlener. Deze persoon zal de onderneming advies kunnen geven over welke maatregelen er moeten worden genomen in het licht van de nieuwe Verordening en zal ook toezien op de naleving van de principes van de Verordening. Deze functionaris moet op een onafhankelijke manier kunnen fungeren binnen de onderneming. Hij moet rapporteren aan het hoogste managementniveau en mag niet ontslagen worden om redenen die verband houden met de uitoefening van zijn functie.

Meldingsplicht van inbreuken

Indien de persoonsgegevens van betrokkenen dreigen in verkeerde handen terecht te komen, bijvoorbeeld doordat iemand de gegevens heeft gehackt of door een menselijke fout of een fout in een systeem, is de onderneming voortaan in sommige gevallen verplicht om dit te melden aan de Gegevensbeschermingsautoriteit en ook aan de betrokkene zelf. Denk maar aan een werknemer wiens laptop met daarop persoonsgegevens gestolen wordt, of een e-mail die persoonsgegevens bevat en die per vergissing naar het verkeerde adres wordt verstuurd. Een policy die de verschillende mogelijke situaties en de daaraan gekoppelde acties uiteenzet, kan nuttig zijn.

Hoger sanctierisico

Het naleven van de regels inzake de verwerking van persoonsgegevens was naar ons aanvoelen voor de komst van de GDPR geen topprioriteit van Belgische ondernemingen. Dit had onder andere te maken met het feit dat er, in tegenstelling tot sommige van onze buurlanden, in België geen reëel sanctierisico bestond onder de oude wetgeving. Er waren wel strafsancties voorzien, maar deze werden in de praktijk zelden of nooit toegepast. De Belgische toezichthoudende autoriteit bezat ook geen sanctionerende bevoegdheden.

Dit is drastisch veranderd onder de GDPR.

Betrokkenen kunnen een klacht indienen bij de Gegevensbeschermingsautoriteit en kunnen een schadeclaim indienen bij de rechtbank.

Voortaan zullen bedrijven die de regels aan hun laars lappen, door de Gegevensbeschermingsautoriteit zwaar beboet kunnen worden met administratieve geldboetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van een onderneming.