GDPR binnen HR samengevat

GDPR staat voor General Data Protection Regulation. in het Nederlands spreekt men van de Algemene Verordening Gegevensbescherming of AVG. Deze Europese reglementering heeft tot doel de privacy van de EU-burger op dezelfde wijze te beschermen als er van hem persoonsgegevens worden verwerkt. In het kader van HR verwerkt een werkgever persoonsgegevens van kandidaten, werknemers, interimarissen en zelfstandige medewerkers. Hij moet bijgevolg de regels van de GDPR naleven.

1. Persoonsgegevens

Zijn o.a. persoonsgegevens :

  • naam, voornaam en contactgegevens;
  • personeelsevaluaties en ziektebriefjes;
  • informatie over de webpagina’s die een IP-adres bezoekt;
  • locatiegegevens (bv. Track & trace systeem);
  • lijst van de personeelsnummers die halftijds werken;
  • camerabeelden;
  • medische of genetische gegevens, ras of etnische afkomst, seksuele gerichtheid en gedrag, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond, gerechtelijke gegevens over strafrechtelijke veroordelingen en strafbare feiten (dergelijke persoonsgegevens noemt men gevoelige gegevens en genieten een grotere bescherming).

2. Verwerken van persoonsgegevens

Voorbeelden van verwerken van persoonsgegevens zijn het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van deze gegevens.

3. Register van verwerkingsactiviteiten

De werkgever is verantwoordelijk voor de verwerking van al deze persoonsgegevens in het kader van HR en hij doet dit op een regelmatige basis. Hij moet bijgevolg een register opmaken waarin hij een overzicht geeft van alle processen of situaties waarin hij deze persoonsgegevens verwerkt.

In dat register van verwerkingsactiviteiten vermeldt hij de volgende gegevens:

  • Zijn naam en die van de functionaris van gegevensbescherming (zie verder);
  • Het doel van elke verwerking van deze persoonsgegevens;
  • Per verwerking welke persoonsgegevens worden verwerkt en van wie;
  • Per verwerking wie deze persoonsgegevens ontvangt, al dan niet buiten de EU;
  • Hoe lang bewaart hij die persoonsgegevens;
  • Hoe beveiligt hij die persoonsgegevens.

4. Privacy Policy

De werkgever zal aan zijn kandidaten, werknemers, interimarissen en zelfstandige medewerkers moeten meedelen dat hij persoonsgegevens van hen verwerkt. Hij doet dat door een “privacy policy” op te stellen waarin hij aan de betrokken personen meedeelt:

  • Dat hij persoonsgegevens van hen verwerkt en welke die zijn;
  • Wat hem toelaat om deze persoonsgegevens van hen te verwerken. Dit kan zijn: 
  1. Hij heeft deze gegevens nodig om de overeenkomst te kunnen uitvoeren : bvb. de arbeidsovereenkomst verplicht hem ertoe om loon uit te betalen;
  2. Hij moet een wettelijke verplichting naleven : bvb. DIMONA, DMFA, fiscale aangifte;
  3. Hij heeft een gerechtvaardigd belang en hij legt uit aan de betrokken personen waarom hij dit gaat invoeren :  bvb. GEO-lokalisatie, camerabewaking, controle op internetgebruik en emailverkeer;
  4. zo niet heeft hij hun toestemming.
  • Wat het doel is waarvoor hij die persoonsgegevens gaat verwerken;
  • Dat de persoonsgegevens die hij verwerkt correct en actueel zijn;
  • Dat hij alleen de persoonsgegevens zal verwerken die strikt noodzakelijk zijn om het doel te bereiken waarvoor hij die persoonsgegevens gaat verwerken: bvb. om een DIMONA te doen heeft hij geen medische gegevens nodig van de werknemer;
  • Dat hij die persoonsgegevens maar zal bewaren zolang dat nodig is;
  • Dat hij die persoonsgegevens zal beveiligen zodat ze niet in handen komen van buitenstaanders;
  • Wie de functionaris van gegevensbescherming is (zie verder);
  • Dat hij die gegevens al dan niet doorstuurt buiten de EU en de daaraan gekoppelde garanties inzake privacy als hij die gegevens doorstuurt buiten de EU;
  • Wat de rechten van de betrokken personen zijn in verband met de persoonsgegevens die hij van hen verwerkt:
  1. Recht op informatie
  2. Recht op inzage in de persoonsgegevens die hij van hen verwerkt;
  3. Recht op verbetering van de persoonsgegevens die hij van hen verwerkt;
  4. Recht om hun persoonsgegevens te laten wissen als deze niet meer nodig zijn;
  5. Recht om de verwerking van hun persoonsgegevens te beperken;
  6. Recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens;
  7. Recht om hun persoonsgegevens te laten overdragen;
  8. Recht om niet te onderworpen worden aan een geautomatiseerde besluitvorming;
  9. Recht om klacht in te dienen bij de privacy commissie als de spelregels niet worden nageleefd.

De werkgever zorgt ervoor dat zijn kandidaten, werknemers, interimarissen en zelfstandige medewerkers kennis hebben genomen van deze privacy policy, bvb. hij overhandigt die privacy policy aan zijn kandidaten, werknemers, interimarissen en zelfstandige medewerkers tegen ontvangstbewijs,

De werkgever vindt een model van privacy policy op www.groups.be en vervolgens doorklikken op GDPR.

5. Functionaris van gegevensbescherming

De werkgever moet een functionaris van gegevensbescherming (ook wel de Data Protection Officer of DPO genoemd) aanstellen:

  • Als hij een overheidsinstantie is;
  • Als zijn hoofdactiviteit erin bestaat om mensen op grootschalige, regelmatige en stelselmatige basis te observeren;
  • Als hij op grootschalige wijze gevoelige gegevens verwerk.

Een functionaris van gegevensbescherming zorgt voor de naleving van de GDPR in zijn onderneming

6. Gegevensbeschermingseffectbeoordeling

De werkgever moet op voorhand een Gegevensbeschermingseffectbeoordeling (GEB) uitvoeren wanneer de verwerking van de persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van de personen waarvan hij persoonsgegevens verwerkt.

De privacy commissie zal nog een lijst opstellen van verwerkingen waarvoor zo een GEB moet opgemaakt worden

7. Contract met een externe dienstverlener

Als de werkgever de persoonsgegevens van zijn medewerkers overmaakt aan een externe dienstverlener (bvb. erkend sociaal secretariaat voor werkgevers) dan moet zijn dienstverlener hem voldoende garanties bieden dat deze persoonsgegevens op dezelfde vertrouwelijke wijze worden behandeld zoals hij dat doet.

In het kader van de loonadministratie die de werkgever uitbesteed aan Group S – Sociaal secretariaat vzw, en de verwerking van persoonsgegevens die daaruit volgt, wordt de aansluitingsovereenkomst tussen beide partijen via een bijlage gewijzigd teneinde de verbintenissen van beide partijen op het gebied van de GDPR weer te geven. Deze bijlage is gebaseerd op een gedragscode opgesteld door de Unie der Sociale Secretariaten.

De externe dienstverlener moet de werkgever ook alle nodige informatie geven zodat hij  kan controleren of de gemaakte afspraken worden nageleefd.

8. Datalekken

De werkgever moet datalekken (gestolen PC, verloren USB-stick, cyberaanval, …) die kunnen leiden tot openbaarmaking van persoonsgegevens van zijn kandidaten, werknemers, interimarissen en zelfstandige medewerkers bijhouden in een intern logboek.
Hij moet deze datalekken ook melden :

  • Aan de privacy commissie en dit binnen de 72 uur na kennisname van de datalek als deze lekken een risico inhouden voor de rechten en vrijheden van zijn kandidaten, werknemers, interimarissen en zelfstandige medewerkers ;
  • Aan de kandidaten, werknemers, interimarissen en zelfstandige medewerkers zelf als deze lekken een hoog risico inhouden voor de rechten en vrijheden van zijn kandidaten, werknemers, interimarissen en zelfstandige medewerkers.

Als die datalekken zich hebben voorgedaan bij een van zijn externe dienstverleners, bvb. erkend sociaal secretariaat voor werkgevers, zullen zij hem ervan moet informeren zodat hij de nodige info kan geven aan de privacy commissie en/of zijn medewerkers.

9. Sancties

De privacy commissie kan de werkgever een (maximale) administratieve geldboete opleggen als hij de regels van de GDPR niet naleeft :

Gewone inbreuk : 10.000.000 € of 2% van de jaaromzet
Zware inbreuk : 20.000.000 € of 4 % van de jaaromzet

 

Schrijf u in voor onze nieuwsbrief en blijf op de hoogte!