Reliance
Newsflash

GDPR : Nieuwe HR-verplichtingen? Aangepaste hulpmiddelen te uwer beschikking

Delen

Enkele weken voor de inwerkingtreding van de Algemene Verordening Gegevensbescherming (GDPR), concentreert iedereen zich op de acties die moeten worden ondernomen om te voldoen aan de nieuwe regels die van toepassing zijn vanaf aanstaande 25 mei. Het beheer van het personeelsbeleid impliceert de verwerking van een grote hoeveelheid persoonsgegevens. Er moet dan ook bijzondere aandacht worden besteed aan de conformiteit van de verwerking van de persoonsgegevens van werknemers.

Over de GDPR

De GDPR is een gelegenheid om een duidelijk, transparant en veilig beleid voor de verwerking van persoonsgegevens te bepalen dat alleen maar voordelig kan zijn voor uw reputatie als werkgever. Door naleving hiervan kan u veel ongemakken vermijden bij de individuele of collectieve onderhandelingen. Bovendien zijn de straffen in geval van overtreding hoog.

De reglementering is opgesteld rond het volgende idee: de verwerkingsverantwoordelijke moet ervoor kunnen zorgen dat de gegevens alleen worden verwerkt voor het aangekondigde legitieme doel, voor zover deze verwerking noodzakelijk is voor dat doel, en dit op een nauwkeurige en veilige manier (principe van finaliteit – rechtmatigheid – transparantie – integriteit – minimalisatie – nauwkeurigheid).

Alle ondernemingen of organisaties die persoonsgegevens met betrekking tot de burgers van de Europese Unie verzamelen, verwerken of opslaan, moeten de GDPR respecteren.

Het doel van de GDPR is:

  • natuurlijke personen beschermen tegen misbruik van hun persoonsgegevens en daardoor ook hun privacy beschermen;
  • terwijl het vrij verkeer van gegevens in de Europese Unie wordt toegestaan.

Om dit te doen, heeft de GDPR:

  • een uniforme toepassing in de hele Europese Unie voorzien;
  • de controle / rechten van betrokkenen versterkt;
  • de transparantie en informatie over de bestaande behandelingen verstrekt;
  • de sancties en boetes verhoogd tot 4% van de totale wereldwijde jaaromzet.

Gevolgen voor het personeelsbeleid

Het beheer van het personeelsbeleid impliceert de verzameling en de verwerking van verschillende gegevens die in kaart moeten worden gebracht in een intern register.

Elke onderneming of organisatie van meer dan 250 werknemers moet de verwerking van persoonsgegevens in kaart brengen door een verwerkingsregister op te stellen. Ondernemingen die minder dan 250 werknemers in dienst hebben, zullen ook aan deze verplichting onderworpen zijn, m.n. als ze verwerkingen uitvoeren die niet occasioneel zijn. In de praktijk zal een grote meerderheid van de werkgevers verplicht zijn om een dergelijk verwerkingsregister op te stellen. Verschillende verwerkingen kunnen in de loop van de arbeidsovereenkomst plaatsvinden:

Kandidaatstelling en aanwerving

De toekomstige werkgever moet informatie verstrekken over en toestemming verkrijgen voor de verzameling, verwerking en opslag van persoonsgegevens op het moment van ontvangst van gegevens (vinkje op een website, schriftelijke overeenkomst, e-mail terugsturen, enz.).

Een verwerking van persoonsgegevens vindt plaats zodra een kandidaat zich aanmeldt (het verzenden van een curriculum vitae, een motivatiebrief, het opmaken van een kandidatenlijst, enz.). Vanaf dit moment heeft u de plicht om – als verwerkingsverantwoordelijke – de kandidaat te informeren over het gebruik dat u wenst te maken van de verzamelde gegevens. Voordat u een dergelijk gebruik van de gegevens overweegt, moet u er dus voor zorgen dat u de toestemming van de kandidaat verkrijgt en kunt vaststellen.

Bovendien kunt u de gegevens van uw kandidaten niet voor onbepaalde tijd behouden en bewaren. Het is dus niet mogelijk om de cv’s van uw kandidaten te bewaren onder het voorwendsel dat u ze “ooit” nodig zou kunnen hebben. U kan deze cv’s alleen bewaren zolang u de kandidaat heeft geïnformeerd en alleen voor de oorspronkelijk geplande duur (en beperkt tot wat noodzakelijk is).

Wat betreft de aanwerving of de onvangst van kandidaturen, moet u dus:

  • de kandidaten informeren over de verwerkingen die betrekking hebben op hun kandidatuur;
  • voorafgaande toesteming verkrijgen voor de verwerking van hun persoonsgegevens (schriftelijke machtiging of selectievakje aanvinken op het elektronisch platform) en deze bewaren;
  • een beleid bepalen voor de opslag van gegevens verzameld die tijdens de werving zijn verzameld.

Specifieke voorwaarden dienen te worden voorzien in het geval van werving buiten de Europese Unie, indien de werving individuele beslissingen betreft op basis van een geautomatiseerde verwerking (chatbot) of als u met wervingsbureaus werkt.

Sluiting van een arbeidsovereenkomst

De werkgever dien de juridische grondslag te verantwoorden en de werknemers te informeren over de verwerkingen van persoonsgegevens en hun doeleinden. De persoonsgegevens worden verzameld om de uitvoering van de arbeidsovereenkomst mogelijk te maken en een wijziging van de arbeidsovereenkomst die deze informatie bevat moet ter ondertekening van elke werknemer worden voorgelegd.

Het sluiten van een arbeidsovereenkomst impliceert een verwerking van persoonsgegevens. Deze verwerkingen kunnen gebaseerd zijn op verschillende juridische grondslagen (in het bijzonder: de noodzaak voor de uitvoering van de arbeidsovereenkomst, een wettelijke grondslag of de toestemming). Gezien het onevenwicht tussen de werkgever (verwerkingsverantwoordelijke) en de werknemer, is de geldigheid van een toestemming bij het sluiten van het contract twijfelachtig. In hoeverre is deze toestemming vrij? (geen toestemming, geen arbeidsovereenkomst). Elke verwerking zal daarom idealiter gebaseerd moeten zijn op een andere juridische grondslag. Dit zal meestal de noodzaak zijn voor de uitvoering van de arbeidsovereenkomst.

Het sluiten van een arbeidsovereenkomst is de gelegenheid om werknemers adequaat te informeren over verwerking van de persoonsgegevens die op hen betrekking hebben. U dient de werknemers tevens op de hoogte te stellen van de ontvangers van hun gegevens (zoals verwerkers, het sociaal secretariaat). Bovendien zal de overdracht van gegevens buiten de Europese Unie ook worden onderworpen aan een informatieplicht en in sommige gevallen, de toestemming van de werknemer. Ten slotte moet specifieke aandacht worden besteed aan de verwerking van “bijzondere” gegevens (zoals diegene die verbonden zijn aan de gezondheid), die in beginsel is verboden, maar waarvoor uitzonderingen bestaan.

Om aan deze informatieverplichtingen te voldoen, raden wij u aan om een afzonderlijke bijlage bij de arbeidsovereenkomst ter ondertekening aan de werknemers aan te bieden waarin de werknemer wordt geïnformeerd over de categorieën van de verwerkte gegevens en de nagestreefde doeleinden. Dit document dient ook te worden voorgelegd aan de werknemers die reeds in dienst zijn op het ogenblik dat de GDPR van kracht wordt.

Tijdens het  verloop van de arbeidsovereenkomst

Transparantie is essentieel bij de verwerking van persoonsgegevens. Zonder duidelijke en adequate informatie over de verwerkingen die u aan het doen bent, kunnen sommige gegevens niet worden gebruikt. Dit kan zeer nadelig zijn, bijvoorbeeld in de context van een toekomstig geschil.

Naarmate de arbeidsovereenkomst wordt uitgevoerd, zullen heel wat persoonsgegevens worden verzameld en verwerkt: gegevens noodzakelijk voor de payroll, informatie inzake loopbaanbegeleiding (evaluaties, disciplinaire sancties, interne mobiliteit, enz.), gegevens met betrekking tot de betrokkenheid van de werknemer bij het collectieve leven (sociale verkiezingen), informatie met betrekking tot het gebruik van de materialen van het bedrijf (computer, gsm, gps, enz.) of voortvloeiend uit de ingestelde veiligheidsmaatregelen (badge, videobewaking , enz.).

Deze informatie kan alleen door de werkgever worden verwerkt indien een juridische grondslag het toestaat en de voorafgaande informatie is meegedeeld aan de werknemers. Indien er vandaag niet voor wordt gezorgd dat een deel van de informatie kan worden gebruikt, zal het moeilijk zijn om deze informatie later te kunnen gebruiken (bijvoorbeeld in het kader van een geschil omwille van de beëindiging van de arbeidsovereenkomst). Het sluiten van een bijlage bij de arbeidsovereenkomst zoals hierboven beschreven is bijgevolg essentieel.

Het zal dan ook noodzakelijk zijn ervoor te zorgen dat wordt voldaan aan andere voorschriften met betrekking tot het gebruik van bepaalde hulpmiddelen (bijvoorbeeld videobewaking) en om het bestaande beleid en de werkregels aan te passen.

Einde van de arbeidsovereenkomst

Een duidelijke en transparante  beëindigingsprocedure is essentieel om te voorkomen dat gegevens aan het einde van de arbeidsovereenkomst worden gelekt en om ieders veiligheid te waarborgen. De rol van de werkgever bestaat er daarom in deze procedures te bepalen en geen gegevens te bewaren die betrekking hebben op de uitgetrede werknemers, behalve de  gegevens die noodzakelijk zijn.

Wanneer een arbeidsovereenkomst eindigt, moeten bepaalde maatregelen worden genomen om het lot van de verzamelde gegevens te bepalen, maar ook om de veiligheid van elkeen te waarborgen. Het is daarom van essentieel belang om een beëindigingsprocedure te bepalen die ten minste voorziet in:

  • het lot van e-maildatabanken / e-mails;
  • de teruggave van de ter beschikking gestelde apparaten en het lot van de daarin aanwezige gegevens;
  • het lot van het persoonlijke dossier van de werknemer;
  • het einde van de toegang tot het bedrijfsnetwerk, in gebouwen, enz.;
  • de bewaring van de verschillende verzamelde elementen.

Periode na het einde van de arbeidsovereenkomst

De gegevens van werknemers moeten lang genoeg worden bewaard om te voldoen aan uw wettelijke verplichtingen en om gerechtelijke procedures te kunnen afhandelen. Een analyse van het bestaan van wettelijke bewaartermijnen en verjaringstermijnen is daarom noodzakelijk om de optimale bewaringstermijn van de gegevens te bepalen.

De persoonsgegevens van de uitgetreden werknemers moeten worden bewaard gedurende een periode die niet langer is dan nodig is voor de doeleinden waarvoor ze worden verwerkt (beperking van de bewaring).

Elke werkgever dient derhalve een bewaringstermijn te bepalen voor de gegevens die hij verzamelt. Het ogenblik van de verwijdering van de gegevens is afhankelijk van:

  • het bestaan van een wettelijke basis voor de bewaring (bijvoorbeeld: bewaringstermijnen voor sociale documenten vereist door de wet);
  • de duur van de verjaringstermijnen (de gegevens lang genoeg bewaren om eventuele juridische procedures te kunnen afhandelen);
  • het bestaan van specifieke behoeften die verband houden met de onderneming.

De bewaringstemijn kan variëren van onderneming tot onderneming en van gegeven tot gegeven. De werkgever moet echter steeds zijn keuze voor de bewaringstermijn van de gegevens kunnen rechtvaardigen.

De werkgever moet er tevens voor zorgen dat hij de archivering organiseert en op een veilige manier de papieren dossiers van zijn werknemers vernietigt.

Conclusie

Het is nog niet te laat om zich te confirmeren met de GDPR of om de huidige procedures te verbeteren. Anticipeer en houdt toezicht op uw verwerkingen van persoonsgegevens om de veiligeheid van elkeen te waarborgen.

De GDPR beperkt zich niet tot het personeelsbeleid van een onderneming. Dit alleen al omvat een groot aantal belangrijke verwerkingen die moeten worden beheerd.

Om bedrijven te helpen deze verwerkingen te beheren, heeft de GDPR een nieuwe speler in de gegevensverwerking gecreëerd, namelijk de functionaris voor gegevensbescherming. Deze functionaris moet de verwerkingsverantwoordelijke informeren en adviseren, toezien op de naleving van de regels en samenwerken met de toezichthoudende autoriteit waarvan hij het aanspreekpunt in de onderneming is. Een dergelijke functionaris kan een externe zijn van de onderneming en is verplicht voor:

  • de overheidsinstanties of overheidsorganen ;
  • de ondernemingsn die belast zijn met grootschalige verwerking van bijzondere categoriën van gegevens (vb: ziekenhuis);
  • de ondernemingen waarvan de activiteit is gestoeld op de verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (vb: wervingsbureau).

Om na te gaan of uw onderneming voloet aan de GDPR, moet u voornamelijk:

  • in staat zijn om de verwerking van persoonsgegevens in kaart te brengen;
  • kunnen aantonen dat deze verwerkingen, op technisch en organisatorisch vlak, in overeenstemming zijn met de GDPR (vaststelling van interne regels – reglementen, contracten, enz. – en van een procedure om de basis waarvan de grondslag van de verwerkingen, de doelstellingen, de informatie aan de werknemers, minimalisatie, enz. kan worden aangetoond);
  • ervoor zorgen dat de verwerkers aan wie u de verwerking van uw werknemers toevertrouwt, zelf alle garanties bieden op technisch en organisatorisch vlak en met hen overeenkomsten sluit die de door de GDPR vereiste informatie bevatten;
  • beveiligingsprocedures opstellen en ervoor zorgen dat deze beveiliging wordt gehandhaafd wanneer gegevens worden overgedragen buiten de Europese Unie;
  • procedures instellen om te reageren op datalekken (binnen 72 uur).

Reliance kan u helpen met deze taken – inclusief het aannemen van de functie van functionaris van gegevensbescherming in uw bedrijf. Aarzel niet om onze webpagina https://reliancelaw.be/en/gdpr gewijd aan de GDPR te raadplegen, waarop u een aantal standaard documenten vindt. Wij staan ook tot uw beschikking. Aarzel niet om contact met ons op te nemen.

Stéphanie De Ridder

Delen