Privacy

De Algemene Verordening Gegevensbescherming (AVG) werkt ook door in de arbeidsrelatie.

Personeelsdossiers
Voor het houden van een personeelsdossier betekent dit in ieder geval dat niet meer persoonsgegevens mogen worden vastgelegd dan nodig zijn om de arbeidsovereenkomst uit te voeren. De gegevens moeten ter zake doen en de persoonsgegevens mogen niet langer worden bewaard dan dat noodzakelijk is (in het arbeidsrecht gelden in dit kader verschillende bewaartermijnen).
Medische informatie mag niet in het personeelsdossier worden opgenomen. Tot slot is de werkgever verantwoordelijk voor een passende beveiliging van het personeelsdossier.

Zieke werknemer
Voor de zieke werknemer gelden strenge privacy eisen. De werkgever mag bijvoorbeeld alleen informeren naar algemene aspecten omtrent de ziekmelding (zoals de vermoedelijke duur van het verzuim, lopende afspraken en eventueel werkzaamheden waar de werknemer nog wel toe in staat is). Informeren naar de aard van de ziekte of arbeidsongeschiktheid is dus niet toegestaan. Uitgangspunt is dat medische gegevens uitsluitend door de bedrijfsarts en/of de arbodienst worden verwerkt.

Controle van personeel
Het controleren van werknemers is onder strikte voorwaarden toegestaan. De belangrijkste voorwaarden zijn onder andere dat de werkgever een legitieme reden (gerechtvaardigd belang/doel) voor de controle heeft, dat de controle noodzakelijk is voor het bereiken van het doel, dat de gegevens uitsluitend voor dat doel worden gebruikt en dat de werkgever de werknemer vooraf en achteraf informeert over de controle.

Ondernemingsraad
Een ondernemingsraad heeft instemmingsrecht bij het ontwikkelen of wijzigen van het privacybeleid binnen de onderneming, indien en voor zover dat beleid bepaalt hoe de werkgever met persoonsgegevens van de werknemers omgaat.

Overige verplichtingen voor de werkgever
In het kader van de AVG moet de werkgever verder onder meer rekening houden met:

  • de verplichting tot het bijhouden van een register van verwerkingsactiviteiten (waarin ten minste de wijze en het doel van de verwerking en degene die de persoonsgegevens verwerkt worden omschreven);
  • de verplichting tot het bijhouden van een register van datalekken;
  • de (mogelijke) verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA verplicht de partij die verantwoordelijk is voor de verwerking van persoonsgegevens, om te beoordelen of bepaalde vormen van gegevensverwerking zijn toegestaan. Een DPIA moet ten minste worden uitgevoerd indien de soort verwerking een hoog risico voor de rechten en de vrijheden van de werknemer met zich meebrengt;
  • een (mogelijke) verplichting tot het aanstellen van een functionaris voor gegevensbescherming (FG), die toezicht houdt op de naleving van de AVG binnen de organisatie.

Rechten van werknemers
Werknemers hebben het recht om hun persoonsgegeven in te zien, te (laten) wijzigen en in een uiterst geval te laten verwijderen.

Ik help u graag verder
Hayat Barrahmun
Partner
Meest gelezen
  • Specifieke schuldeisers betalen in het zicht van...
  • Het toepasselijk recht volgens de...
  • De niet verhaalbare regresvordering
  • NVWA deel I: de bestuursrechtelijke bevoegdheden...
  • Pluraliteitsvereiste bij aanvraag faillissement
Ruud Tuinstra