Hoe verwerk ik personeelsgegevens GDPR-conform?

dinsdag 19/12/2017

De Algemene Verordening voor Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) bepaalt hoe jouw organisatie vanaf 25 mei 2018 persoonsgegevens verwerkt zonder privacyrechten te schenden. 

Als socioculturele organisatie verwerk je in het kader van jouw werking allerlei persoonsgegevens van leden, deelnemers, leveranciers,… maar ook van de personen die je inzet om jouw werking te realiseren, te omkaderen en te ondersteunen zoals werknemers, vrijwilligers, freelancers, stagiairs,...

Denk maar aan:

  • de persoonlijke gegevens van werknemers die je bijhoudt, verwerkt en doorstuurt of uploadt naar het sociaal secretariaat voor de loon- en personeelsadministratie
  • de sollicitatiebrief en CV van sollicitanten die je bewaart als ‘wervingsreserve’
  • de foto’s van werknemers en vrijwilligers die je op de website of via sociale media bekend maakt
  • de aanwezigheid van personeelsleden, vrijwilligers en andere werkkrachten die je registreert via een badge of vingerafdruk
  • het gebruik van internet, e-mail en sociale media door werknemers dat je controleert
  • camerabewaking op de werkvloer
  • ...

Het is dus belangrijk dat je organisatie de komende maanden stappen zet en zo nodig maatregelen neemt die ervoor zorgen dat al deze verwerkingsactiviteiten tijdig in orde zijn met de nieuwe privacyregels. Sociare helpt je hier graag mee verder.

Algemeen: Privacy in de relatie werkgever–werknemer

Werkgevers moeten al langer rekening houden met de privacyrechten van hun werknemers wanneer ze personeelsgegevens verwerken. Dat is niet nieuw. In omzetting van de Europese Richtlijn bepaalde tot nu toe de Privacywet van 1992 de regels daaromtrent en vertaalden de sociale partners van de Nationale Arbeidsraad die regels in cao’s voor enkele concrete toepassingsgevallen in de relatie werkgever-werknemer, zoals daar zijn:

  • cao nr. 38 voor werving en selectie
  • cao nr. 68 voor camerabewaking op de arbeidsplaats   
  • cao nr. 81 voor controle op internet- en e-mailgebruik van werknemers
  • cao nr. 89 voor diefstalpreventie en uitgangcontroles van werknemers bij het verlaten van de organisatie of de werkplaats
  • cao nr. 100 voor het preventief alcohol- en drugbeleid in de organisatie              

De GDPR wijzigt op zich niets aan de basisprincipes waarop deze bestaande privacyregelgeving stoelt (legitimiteit-proportionaliteit- transparantie).  Zij past de privacyregelgeving wel aan in het licht van nieuwe technologieën en ontwikkelingen die gegevensverwerking op grotere schaal mogelijk maken, minder zichtbaar zijn en toegepast worden in een wereld waar de grens tussen professioneel en privéleven dunner en dus kwetsbaarder is geworden. Daarom verstrekt de GDPR:

  • de transparantie- en verantwoordingsverplichting die je als organisatie hebt naar werknemers en naar de Privacycommissie (binnenkort: ‘Gegevensbeschermingsautoriteit’ of ‘GBA’) toe. Die laatste krijgt voortaan ook de functie van waakhond en kan je organisatie dus controleren en sanctioneren.
  • de rechten van (kandidaat-) werknemers door enkele nieuwe rechten toe te voegen

Wat ook enkele nieuwe verplichtingen met zich meebrengt voor werkgevers in hun hoedanigheid van verwerkingsverantwoordelijke voor de personeelsgegevens. Enkele voorbeelden:

  • het bijhouden van alle verwerkingsactiviteiten die betrekking hebben op personeelsgegevens in het register van de verwerkingsactiviteiten
  • voor sommigen ook het aanstellen van een functionaris voor gegevensbescherming en privacy, ook Data Protection Officer of DPO genoemd.
  • het herwerken van privacyverklaringen (of het opmaken ervan als er nog ontbreken), vermeldingen in het arbeidsreglement, policy’s en andere personeelsdocumenten
  • het sluiten van verwerkersovereenkomsten met partners zoals het sociaal secretariaat en de externe preventiedienst, aan wie je personeelsgegevens doorgeeft om ze in naam en voor rekening van  je organisatie te verwerken
  • de verplichting om datalekken en andere inbreuken te melden die de werknemers schade kunnen berokkenen  
  • het standaard inbouwen van privacybescherming en –risico evaluatie vanuit het standpunt van de werknemers bij elke HR-beslissing die je neemt en elk HR-proces dat je invoert of wijzigt (‘gegevensbescherming door ontwerp en standaardinstellingen’ en ‘gegevensbeschermingseffectbeoordeling’)

De GDPR laat de lidstaten toe om bij wet of cao nadere regels te bepalen over de verwerking van persoonsgegevens in het kader van de werkrelatie. Voorlopig is het uitgangspunt dan ook dat dat de meeste cao’s van de NAR ongewijzigd kunnen voortbestaan onder de GDPR. Maar dat ze wel samen gelezen moeten worden met de GDPR. Dat levert enkele bijkomende aandachtspunten op die later ook in de FAQ verduidelijkt zullen worden.  

Goed om te weten

Het scwitch-privacypakket helpt je organisatie algemeen op weg met de GDPR. Je vindt er een gratis logboek met alle basisinformatie, een stappenplan en tools om je organisatie in orde te stellen met de nieuwe privacyregels.  Er is ook een aanbod aan begeleidingssessies rond de verwerking van persoonsgegevens van leden, deelnemers...

Sociare helpt je als werkgever met de concrete toepassing van de GDPR op de persoonsgegevens die je verwerkt van personeel en andere werkkrachten. Leden kunnen doorklikken naar een aantal veelgestelde vragen onderaan dit artikel.

Bijkomende vragen of hulp nodig? Bel 02/503.18.11 of mail naar stefanie@sociare.be

Lid van Sociare? Klik dan zeker door op volgende FAQ's om meer te lezen over de verschillende inhoudelijke aspecten van GDPR