Binnen tien dagen gaat de General Data Protection Regulation – beter bekend als GDPR – van kracht. Grote én kleine bedrijven moeten dan voldoen aan deze verstrengde Europese privacyregels. Wat zijn de meest voorkomende vragen die sociale secretariaten binnenkrijgen over GDPR?
Zoë Baats, Adviseur Juridisch Kenniscentrum van SD Worx: “Het is belangrijk om minstens de voorbereiding op te starten en na 25 mei nog verder te werken. Ook al komt de deadline dichter, het is zeker nog niet te laat. Ook na 25 mei geven we bedrijven alle verdere ondersteuning die ze nodig hebben.”

1. Wat zijn de bewaartermijnen voor personeelsgegevens?
Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt weliswaar geen expliciete bewaartermijnen op, maar laat evenmin toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. De wet bepaalt al voor een resem van sociale en fiscale documenten minimum bewaartermijnen. Voor die documenten waarvoor geen wettelijke termijn geldt, zal de werkgever zelf moeten oordelen hoelang hij een document bewaart. De werkgever zal de bewaartermijn dan t.a.v. de Gegevensbeschermingsautoriteit moeten kunnen verantwoorden.
2. Wat is de impact op het arbeidsreglement of de individuele arbeidsovereenkomst?
Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacy-clausules moeten opnemen. Dat klopt niet, al bent u als werkgever wel verplicht om uw werknemers te informeren over wat er met hun gegevens gebeurt. Een privacy-beleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.
3. Is de toestemming van de werknemer voor alle gegevens nodig?
Hebt u voortaan toestemming nodig om een foto van uw werknemer in het interne bedrijfstelefoonboekje te plaatsen? Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.
Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet per se vereist: u kan zich baseren op de contractuele relatie tussen werkgever en werknemer. Het contract dat u met uw medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft u het recht om de gegevens te verwerken die u nodig hebt om aan uw contractuele verplichting te kunnen voldoen.
4. Zijn we verplicht een Data Protection Officer (DPO) aan te stellen en is die DPO beschermd tegen ontslag?
Slechts drie soorten bedrijven zijn verplicht een DPO aan te stellen:
– overheidsbedrijven;
– organisaties die bijzondere data, zoals strafrechtelijke gegevens, verwerken;
– bedrijven die dagelijks een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens verwerken, zoals ziekenhuizen, verzekeraars of banken.
Natuurlijk kan elk bedrijf vrijwillig een DPO aanstellen. Een DPO is altijd beschermd tegen ontslag, zolang de functie correct wordt uitgevoerd.
5. Moet een kmo een dataregister opstellen?
De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:
– data die een risico vormen voor iemands rechten en vrijheden;
– gevoelige informatie: raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid;
– gerechtelijke informatie: gegevens over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen;
– data met betrekking op derden, zoals klanten of leveranciers, en werknemers.
Bron : SD Worx