Elke werkgever verwerkt persoonsgegevens van de personen waarmee binnen de organisatie wordt samengewerkt. Voorbeelden hiervan zijn: loon- en personeelsadministratie, bewaren van een personeelsdossier, bijhouden van een database van sollicitanten, werknemers, uitzendkrachten of consultants, aanwezigheidsregistratie, camerabewaking, e-monitoring, track & trace, fotoboek op intranet, enz.

Volgens de huidige privacy-wetgeving moet u als werkgever er voor zorgen dat de verwerking van persoonsgegevens beantwoordt aan verschillende criteria. Zo mogen de gegevens maar beperkt worden bewaard en mag het niet gaan om gevoelige persoonsgegevens zoals ras of religie. De verwerking van de persoonsgegevens moet onder meer terzake dienend en aan een doel gebonden zijn.

Privacy-compliant nu

Als u als werkgever deze persoonsgegevens verwerkt dan moet u daarvoor een relevante rechtsgrond hebben. Die relevante rechtsgrond kan bijvoorbeeld de wettelijke verplichting zijn om de gegevens te verwerken zoals bij een sociale en fiscale aangifte. Heeft u als werkgever geen relevante rechtsgrond, dan heeft u de toestemming van de werknemer nodig.

Privacy-compliant vanaf 2018

Maar vanaf 2018 wordt deze privacy-wetgeving strenger en zal u dus om de nieuwe regels na te leven met een aantal extra zaken rekening moeten houden. Bent u vanaf mei 2018 als werkgever niet GDPR-compliant, dan riskeert u een boete die kan oplopen tot 4% van de wereldwijde omzet van het voorgaande boekjaar tot maximum 20 miljoen EUR.

Wat concreet doen om GDPR-compliant te zijn?

1. Informatie aan werknemers

Volgens de huidige privacy-wetgeving moet u als werkgever de volgende zaken aan de werknemer meedelen:

• wie verantwoordelijk is voor de verwerking van de persoonsgegevens;
• welke de doeleinden van de verwerking zijn;
• wie de gegevens verwerkt;
• welke gegevens worden verwerkt;
• het recht op toegang tot en verbetering van de gegevens.

De verplichting om de werknemer te informeren over de verwerking van de persoonsgegevens wordt binnen de GDPR uitgebreid. Volgens de nieuwe regelgeving is het verplicht om ook de volgende gegevens mee te delen:

• de relevante rechtsgrond om de persoonsgegevens te verwerken;
• het recht om zijn toestemming in te trekken;
• de termijn van opslag van deze gegevens;
• het recht om deze gegevens over te dragen;
• het recht op inzage, verbetering, wissen, beperking, bezwaar;
• het recht om een klacht in te dienen bij de Privacy-commissie;
• de gegevens van een privacy officer (zie verder).

Als werkgever zal u deze informatie moeten meedelen via opleidingen, aangepaste documenten (arbeidsreglement, individuele contracten en policies) aan sollicitanten, nieuwe werknemers en werknemers die al in dienst zijn.

2. Register verwerkingsactiviteiten

U zal als werkgever moeten kunnen aantonen dat u de persoonsgegevens van uw werknemers verwerkt volgens de regels van de GDPR. Er is dus een documentatieplicht.

U moet een register van verwerkingsactiviteiten opmaken en actueel bijhouden door periodieke bijwerking. In dat register moet u alle processen waarin u persoonsgegevens verwerkt, beschrijven en per proces de volgende zaken meedelen:

• wie verantwoordelijk is voor de verwerking van de persoonsgegevens;
• welke gegevens worden verwerkt;
• van wie gegevens worden verwerkt;
• de reden van verwerking van de gegevens;
• wie de gegevens ontvangt (bv. het sociaal secretariaat in het kader van de loonadministratie);
• de bewaartermijn ervan;
• de beveiligingsmaatregelen.

In bepaalde gevallen is het ook nodig om het effect van de gegevensbescherming te beoordelen. Voor welke soorten verwerking dit het geval is moet de Privacy-commisie nog meedelen.

3. Aanstelling privacy officer

In bepaalde gevallen moet u een privacy officer aanstellen die moet waken over de naleving van de GDPR binnen de onderneming. Deze officer moet worden opgeleid in zijn rol om zo met de nodige deskundigheid zijn taak te kunnen uitvoeren.

U moet nagaan of u valt onder de verplichting om een privacy officer aan te stellen en wanneer dat het geval is in de nodige opleidingen voorzien en waarborgen dat hij zijn opdracht naar behoren kan uitoefenen.

4. Data security en -lekken

Als werkgever moet u binnen de GDPR ook in de nodige beveiliging van de data in uw onderneming voorzien en een procedure uitwerken voor het opsporen, rapporteren en onderzoeken van eventuele lekken in de databescherming. Datelekken zijn niet alleen actieve lekken in geval van cyber-criminaliteit, maar ook toevallige lekken (een e-mail werd naar een verkeerde ontvanger verzonden, een bedrijfs-laptop wordt gestolen, notities worden vergeten op de trein).

U zal een procedure moeten uitwerken die beschrijft welke acties moeten worden ondernomen in geval van datalekken. U moet de erbij betrokken personen hiertoe opleiden en op hun verantwoordelijkheden wijzen, een register bijhouden van de datalekken en in bepaalde gevallen een aangifte doen bij de Privacy-commissie.

5. External compliancy

Wanneer u als werkgever een beroep doet op derden om persoonsgegevens van uw personeel te verwerken, dan moet u er zeker van zijn dat deze “gegevensverwerker” in orde is met de GDPR. De “gegevensverwerker” zal u in een overeenkomst de nodige garanties moeten geven dat hij GDPR-compliant is.

U zal de diverse leveranciers die persoonsgegevens van u onderneming verwerken in kaart moeten brengen en zeker zijn van de compliancy van deze leveranciers met de GDPR.

6. Internal compliancy

Binnen uw onderneming moet u nagaan welke persoonsgegevens u verwerkt en of u zich daarbij aan bovenstaande regels houdt.

Stel een data-mapping op, zo kan u nagaan welke controles reeds voldoende zijn en welke moeten worden uitgebreid of goedgekeurd. De resultaten van deze data-mapping kunnen daarna gebruikt worden om uw personeelsbeleid af te stemmen op nieuwe GDPR-regelgeving.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Group S V.Z.W. (Brussel))

Meer info: 02/507.15.11 of https://www.groups.be.