Bent u klaar voor 25 mei 2018? Een nieuw jaar biedt heel wat nieuwe kansen en perspectieven. Maar ook dit jaar heeft de Europese wetgever niet stil gezeten. Hebt u reeds gehoord van GDPR regelgeving? Bent u perfect voorbereid op deze nieuwe Verordening of dient u deze regelgeving toe te voegen aan uw lijst met goede voornemens voor 2018?
Deze blog heeft betrekking op de verplichtingen die rusten op u als werkgever want ook in deze hoedanigheid hebt u nieuwe verplichtingen.
Algemeen
De Europese wetgever heeft in 2016 besloten dat de persoonsgegevens van de Europese burgers evenals hun privacy beter beschermd dienen te worden en hun rechten hieromtrent beter omschreven en omkaderd. Om dit te verwezenlijken werd de GDPR Verordening in het leven geroepen.
De nieuwe regelgeving zal van kracht zijn vanaf 25 mei 2018 en tegen dan zal uw bedrijf GDPR conform moeten zijn. Er is dus werk aan de winkel!
Ook u als werkgever
U staat hier misschien niet bij stil maar als werkgever dient u hoogstwaarschijnlijk ook rekening te houden met de GDPR Verordening. In de hoedanigheid van werkgever verwerkt u immers ook persoonsgegevens van uw werknemers en bent u dus ook gehouden tot naleving van de GDPR Verordening.
Om te weten of u rekening dient de houden met de GDPR Verordening dient u het toepassingsgebied van deze Verordening te bekijken.
De Verordening is van toepassing op de verwerking van de persoonsgegevens. De term wordt in de Verordening als volgt gedefinieerd: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;” (art. 4, 1) GDPR Verordening)
De Verordening is ook enkel van toepassing indien het gaat om de verwerking van de persoonsgegevens. Verwerking wordt in de Verordening zeer ruim gedefinieerd. De Verordening definieert verwerking immers als volgt: “ een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;” (art. 4, 2) GDPR Verordening)
De Verordening zal dus hoogstwaarschijnlijk van toepassing zijn bij gegevens verzameld teneinde loon van de werknemers en de administratie hierrond op te volgen, informatie verzameld op basis van camerabewaking op de werkvloer, enz…
Daarnaast legt de GDPR Verordening ook een aantal algemene verplichtingen vast. Zo moet o.a. de informatie op een rechtmatige, behoorlijke en transparante wijze verwerkt worden, moet het doel van de gegevensverwerking rechtmatig zijn (en dient het correct te worden meegedeeld), mag er maar sprake zijn van een minimale gegevensverwerking, moet de informatie juist zijn, moet er sprake zijn van opslagbeperking waardoor de betrokken persoon niet meer identificeerbaar is voor andere doeleinden en als laatste dient men gepaste technische en organisatorische maatregelen te nemen om een passende veiligheid te garanderen bij het verwerken van de persoonsgegevens.
De verwerking van de persoonsgegevens dient bovendien te gebeuren in het kader van een rechtmatige grondslag. De GDPR Verordening haalt o.a. de toestemming van de betrokken persoon, de noodzaak van het verzamelen van de gegevens voor de goede uitvoering van de overeenkomst en de noodzaak om de gegevens te verzamelen om te voldoen aan de wettelijke verplichtingen als rechtmatige grondslag aan. Let er steeds op dat u deze grondslag uitdrukkelijk aan uw werknemers communiceert.
Maar welke concrete aanpassingen dient u nu door te voeren t.o.v. de Wet Verwerking van Persoonsgegevens? België bood immers al heel wat bescherming op dit vlak (doch zal er nog een inspanning moeten geleverd worden).
Eerste aanpassing: werknemers hebben het recht om persoonsgegevens die over hen worden bijgehouden in te kijken. Dit recht is ruimer omschreven dan ten tijde van de Wet Verwerking van Persoonsgegevens: zo heeft een werknemer nu bijvoorbeeld recht op een kopie. (art 15 GDPR Verordening)
Tweede aanpassing: recht om de gegevens aan te passen in het geval dat deze fout zijn dan wel onvolledige gegevens aan te vullen. (art. 16 GDPR Verordening)
Derde aanpassing: invoeging van het recht om vergeten te worden. (art. 17 GDPR Verordening)
En de vierde en laatste aanpassing is het recht van de werknemer om gegevens over te dragen. Dit houdt in dat de werknemer recht heeft om de persoonsgegevens te ontvangen op een elektronische drager (zoals een usb-stick) waardoor hij deze gegevens gemakkelijk kan overdragen aan een andere belanghebbende zoals een nieuwe werkgever.
Stappenplan
Welke concrete stappen dien ik als werkgever nu te nemen? Hieronder vindt u een stappenplan dat u alvast kan helpen.
1. Maak een dataregister op! Bewaart u gegevens die vallen onder de definitie van persoonsgegevens? Om welke gegevens gaat het juist? Hoe bewaart u deze? Wat doet u als werkgever juist met deze gegevens? Wie heeft er toegang tot deze gegevens? Hou hierbij zeker de zeer ruim omschreven definitie van persoonsgegevens in het oog! De kans is immers zeer groot dat u onder het toepassingsgebied van de GDPR Verordening zal vallen.
2. Kijk na of de verzameling van de persoonsgegevens die u doet wel GDPR regelgeving conform is. U moet nu immers zoals hoger in deze bijdrage ook al werd aangehaald een rechtmatig doel hebben om persoonsgegevens te verzamelen. Hoewel dit ook een vereiste was bij de Wet Verwerking van Persoonsgegevens is deze vereiste strenger geworden. Zo moet de (voorafgaande) toestemming nu bijvoorbeeld expliciet zijn. Opgelet, deze toestemming kan later ook weer ingetrokken worden. Is uw systeem bijgewerkt zodat u de betreffende persoonsgegevens volledig kan verwijderen?
3. Verschaft u de noodzakelijk gegevens aan uw werknemers? Zo dient u best mee te delen aan uw werknemers dat er persoonsgegevens kunnen verzameld worden en in het kader van welk rechtmatig doeleinde dit gebeurt, dat uw werknemers het recht hebben op inzage van deze gegevens en dat zij deze gegevens kunnen rechtzetten en/of aanvullen, de gegevens van de Privacy officer enz… De wijze waarop u dit moet doen is niet vastgelegd doch moet het uitdrukkelijk en duidelijke taal worden meegedeeld. Zo kan dit bijvoorbeeld gebeuren door een addendum aan het arbeidscontract toe te voegen of het arbeidsreglement aan te passen.
4. Kijk alle relevante documenten na op hun GDPR conformiteit. Zo kan het belangrijk zijn contracten, arbeidsreglementen, interne documenten omtrent beleid enz.. na te kijken.
5. Voorzie een procedure om datalekken op te sporen en tegen te gaan. Daarnaast kan u best ook een procedure voorzien in het geval er zich datalekken voordoen.
6. Ga na of het voor uw bedrijf aangewezen is om een functionaris voor gegevensbescherming aan te stellen. Hoewel dit niet verplicht is kan dit in bepaalde gevallen zeer nuttig zijn. De functionaris kan immers een sleutelrol spelen bij het naleven van de GDPR Verordening. Hij zal immers instaan voor de controle op de naleving van de GDPR Verordening (en eventueel andere regelgeving) en kan ook fungeren als contactpersoon in geval van vragen of opmerkingen bij werknemers.
Een antwoord geven op de vragen gesteld in dit stappenplan kan al een hele stap zijn naar GDPR conformiteit. Toch is het aangewezen om u hierbij te laten bijstaan, Ingentia Advocaten staat ook nu voor u klaar.
