skip to Main Content

Werkgevers beschikken over een grote hoeveelheid persoonsgegevens van hun werknemers. Denk aan gegevens in personeelsdossiers, verzuimgegevens, re-integratiegegevens en gegevens verkregen door monitoring, zoals cameratoezicht. Welke informatieplicht heeft een werkgever op basis van de privacywetgeving AVG / GDPR?

Welke informatie moet u verstrekken?

Bescherming persoonsgegevensInformatie die u in ieder geval moet verstrekken:

  • per persoonsgegeven het doel en de rechtsgrond van de verwerking;
  • als de verwerking noodzakelijk is voor de behartiging van gerechtvaardigde belangen moet u deze belangen vermelden;
  • de periode dat u de persoonsgegevens opslaat (de bewaartermijn);
  • dat de werknemer het recht heeft u te verzoeken om inzage in zijn persoonsgegevens die worden verwerkt;
  • dat de werknemer het recht heeft u te verzoeken om persoonsgegevens te rectificeren, te wissen of het gebruik te beperken;
  • dat de werknemer het recht heeft om bezwaar te maken tegen de verwerking van persoonsgegevens;
  • dat de werknemer het recht heeft om de gegevens over te dragen aan een andere organisatie (voor zover van toepassing is);
  • dat de werknemer het recht heeft klachten in te dienen bij een toezichthoudende autoriteit;
  • of u de persoonsgegevens doorgeeft aan het buitenland en welke waarborgen dan gelden;
  • de contactgegevens van de functionaris voor gegevensbescherming (als deze er is).

Actief informeren

Als werkgever moet u aan de hand van een informatiebrief of privacystatement uw werknemers actief en periodiek informeren. De informatie moet toegankelijk en begrijpelijk zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn. Deze informatieplicht heeft ook betrekking op wijzigingen en aanvullingen. Als de gegevens niet van de werknemer zelf zijn verkregen, hoeft deze informatie niet te worden verstrekt als dat onmogelijk blijkt of onevenredig veel inspanning zou vergen. Hier wordt niet snel aan voldaan.

Registratieplicht

Heeft u als werkgever 250 of meer werknemers in dienst, verwerkt u op grote schaal persoonsgegevens of verwerkt u bijzondere persoonsgegevens, dan geldt een registratieplicht. U moet dan zelf een register bijhouden van al uw verwerkingsactiviteiten. In dit register moeten bijvoorbeeld per verwerking de doeleinden hiervan staan, de bewaartermijnen en of er persoonsgegevens worden doorgegeven aan andere landen. Heeft u minder dan 250 werknemers in dienst, maar voert u bijvoorbeeld periodiek assessments uit of bent u een werving- en selectiebureau of een arbodienst, dan bent u ook verplicht om een register bij te houden.

Recht van inzage

Werknemers hebben het recht om van hun werkgever kosteloos uitsluitsel te verkrijgen over de persoonsgegevens die worden verwerkt en om hier inzage in te verkrijgen. De werknemer heeft recht op een kopie van de persoonsgegevens die worden verwerkt. De informatie moet ‘onverwijld’ aan de werknemer worden verstrekt en in ieder geval binnen een maand na ontvangst van het verzoek. Alleen bij complexe verzoeken kan er sprake zijn van een verlenging. Wanneer verzoeken van werknemers ongegrond of buitensporig zijn, mag de werkgever om een redelijke vergoeding vragen of weigeren gevolg te geven aan het verzoek.

Het recht van inzage betekent dat de administratie met betrekking tot de verwerking van persoonsgegevens op orde moet zijn. Verder is het voor werkgevers noodzakelijk om zich te realiseren dat alle persoonsgegevens die worden verwerkt door een werknemer opgevraagd kunnen worden. ‘In stilte’ een personeelsdossier opbouwen, is dus risicovol.

Rectificatie en ‘recht op vergetelheid’

Zijn de persoonsgegevens onjuist of onvolledig, dan heeft de werknemer het recht op onverwijlde rectificatie. Ook heeft de werknemer – zonder onredelijke vertraging – het recht op het wissen van zijn persoonsgegevens als bijvoorbeeld de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of wanneer deze onrechtmatig zijn verwerkt.

Doorgifte aan ‘derde landen’

Bij ondernemingen waarbij de moeder zich in het buitenland bevindt, worden met regelmaat persoonsgegevens aan ‘derde landen’ doorgegeven. Bijvoorbeeld om tot uitvoering en uitkering van bonusregelingen te kunnen komen. Doorgifte mag echter alleen als aan de waarborgen in de privacyverordening is voldaan. Dit is onder andere het geval wanneer de Europese Commissie heeft besloten dat het derde land een passend beschermingsniveau waarborgt. De Commissie heeft op haar website en in het Publicatieblad van de Europese Unie een lijst bekend gemaakt met deze landen.

Conclusie

Op u als werkgever rust een vergaande, actieve informatieplicht. U kunt hieraan voldoen door uw werknemers te informeren met een informatiebrief of privacystatement. Verder dient u rekening te houden met het recht van inzage. Uw administratie en dossiers dienen hierop ingericht te zijn en het is belangrijk om er rekening mee te houden dat u geen gegevens mag achterhouden. Na een verzoek om inzage kan een personeelsdossier dus ‘op straat’ liggen. Mocht u persoonsgegevens doorgeven aan derde landen, dan dient u er zeker van te zijn dat er sprake is van een passend beschermingsniveau.

Dit bericht is een bewerking van een blog van
Marion Hagenaars, advocaat bij Cordemeyer & Slager / Advocaten.

logo-CordemeyerSlager LawyersforIT

Wilt u op de hoogte blijven?

Mercash publiceert de komende periode met regelmaat over de AVG / GDPR en de impact op de Human Resources en het arbeidsrecht. Schrijf u in, en u ontvangt een melding wanneer er een nieuw bericht wordt geplaatst.

Back To Top