Privacy op de werkvloer: de Europese privacy verordening komt eraan

In 2012 presenteerde de Europese Commissie plannen voor de herziening van de bestaande privacyregelgeving. De Privacyrichtlijn uit 1995 zou gezien het digitale tijdperk verouderd zijn. De keuze is gevallen op een EU-verordening waarop burgers ten overstaan van de nationale rechter een rechtstreeks beroep kunnen doen. De Europese privacy verordening (hierna: “de Verordening”) zal per 25 mei 2018 van toepassing zijn. Hoewel veel uitgangspunten overeenkomen met de Wet bescherming persoonsgegevens (hierna: “Wbp”), bevat de Verordening aanzienlijke wijzigingen, ook voor werkgevers. Het niet naleven van de regels kan een werkgever veel geld kosten. Hierna volgt een korte samenvatting van de verplichtingen voor werkgevers.

Werknemer
De Verordening kent de werknemer meer rechten toe ten opzichte van de (oude) Privacyrichtlijn en de Wbp. Het recht op inzage en het recht op kopie zijn daar goede voorbeelden van. Onder de Wbp heeft de werknemer reeds een inzagerecht. Per 25 mei 2018 zal dit recht van de werknemer versterkt worden. De werknemer heeft dan bijvoorbeeld ook recht op informatie over hoe lang de werkgever de gegevens zal gaan bewaren en de vraag of de werkgever het voornemen heeft om de gegevens door te geven naar partijen in het buitenland en zo ja, welke passende waarborgen daarvoor worden getroffen.

Ook het recht op een kopie van het personeelsdossier is onder de Verordening uitgebreid. De werknemer mag vragen om een kopie van het volledige personeelsdossier. De Verordening bepaalt dat het recht op kopie geen afbreuk mag doen aan de rechten en vrijheden van derden. Ook de Wbp kent een uitzonderingsgrond voor de privacy rechten van derden. Het voorschrift uit de Wbp dat een derde die naar verwachting tegen het recht van kopie bedenkingen zal hebben om een zienswijze moet worden gevraagd, komt niet voor in de Verordening. De werkgever zal bij een verzoek om een kopie van het personeelsdossier zelfstandig moeten nagaan of de privacy rechten van een ander op het spel staan.

Werkgever
Voor de werkgever betekent de Verordening meer verplichtingen. De eerste verplichting van de werkgever is om de werknemer tijdig informatie te verschaffen over alles wat met de verwerking van persoonsgegevens te maken heeft. Dit houdt kortweg in dat de werknemer vóór zijn indiensttreding gewezen moet worden op al zijn privacyrechten. Ofschoon de Wbp al een informatieplicht kent, is het in de toekomst raadzaam om als werkgever (nog meer) te gaan werken met algemene informatiebrieven om aan de informatieplicht te voldoen.

Verder brengt de Verordening een zogenaamde documentatieplicht met zich mee. De documentatieplicht houdt in dat werkgevers een register moeten bijhouden van alle verwerkingsactiviteiten. Deze plicht geldt voor grote werkgevers (vanaf 250 werknemers) en werkgevers die op grote schaal gegevens verwerken. De documentatieplicht geldt ook bij het verwerken van bijzondere gegevens, zoals medische gegevens.

Een andere wijziging betreft de verplichting die de Verordening aan sommige bedrijven toekent om een functionaris voor de gegevensverwerking aan te stellen. Onder de Wbp is het aanstellen van een functionaris nog een keuze. De verplichting op grond van de Verordening geldt voor bedrijven die zich in de kern bezig houden met de verwerking van bijzondere persoonsgegevens. Ook bedrijven die regelmatig en stelselmatig op grote schaal individuen observeren (o.a. profiling) zijn verplicht een functionaris aan te wijzen. Welke bedrijven exact onder de verplichtstelling vallen is vooralsnog onduidelijk. Voor meer informatie (bijvoorbeeld over de begrippen grootschalig, regelmatig en stelselmatig) wordt verwezen naar de Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s) van de Autoriteit Persoonsgegevens.

Overige wijzigingen
Belangrijk is daarnaast dat de Verordening strengere regels kent voor verwerkers (lees: bewerkers) die ten behoeve van de werkgever persoonsgegevens verwerken, zoals arbodiensten (zie in dit kader ook ons artikel over de wijzigingen van de Arbeidsomstandighedenwet per 1 juli 2017). Dat betekent dat bestaande bewerkersovereenkomsten getoetst moeten worden aan deze nieuwe regels. De Verordening kent bovendien een hoger sanctierisico en substantiële boetes als prikkel om privacybescherming binnen ondernemingen hoog te houden.

Tot slot
Tot slot merken wij nog op dat de Verordening ook een meldplicht bij datalekken bevat. De huidige verplichting op grond van de Wbp om datalekken te melden bij de toezichthouder (en in sommige gevallen ook bij de betrokken personen) blijft dus bestaan. Met de komst van de Verordening zal de Wbp en het daarbij behorende Vrijstellingsbesluit komen te vervallen. Het Vrijstellingsbesluit bevat bewaartermijnen voor onder meer personeelsgegevens. De vraag is of deze bewaartermijnen anno 2018 nog aangehouden kunnen worden. Naar verwachting is dat wel het geval.

Wilt u meer weten over de aankomende privacy verordening of de verwerking van persoonsgegevens of over hoe te voldoen aan de informatieverplichtingen? Neem dan contact op met onze advocaten privacy of arbeidsrecht. U kunt zich nu ook aanmelden voor de bijeenkomsten arbeidsrechtelijke aspecten van Privacy die ons team arbeidsrecht in juni organiseert.

785 
Ik help u graag verder

Meest gelezen
  • ‘Kopietje paspoort’
  • ‘Oude’ pandeigenaren versus nieuw...
  • ‘Recht op vergetelheid’ heeft geen...
  • “Als lekkerste getest” niet...
  • “Detachering” leerling is verwijdering