Privacy

Welke impact heeft de GDPR op uw personeelsgegevens?

GDPR AVG General Data Protection Regulation Algemene Verordening voor Gegevensbescherming Personeelsgegevens
news item photo

De General Data Protection Regulation (GDPR) of Algemene Verordening voor Gegevensbescherming (AVG) legt vast hoe uw bedrijf vanaf 25 mei 2018 persoonsgegevens moet verwerken, zonder de privacy te schenden. Wellicht heeft u, in de eerste inspanningen om GDPR-compliant te worden, eerst gekeken naar externe relaties, maar deze wetgeving bepaalt ook hoe u de gegevens van uw eigen personeel (en van sollicitanten) moet verwerken.

Waarom is het belangrijk om personeelsgegevens GDPR-compliant te verwerken?

Ten eerste: de boetes bij het niet naleven van de GDPR/AVG zijn niet al te min. Ze kunnen oplopen tot 2% (tot €10.000.000) of zelfs 4% (tot €20.000.000) van de geconsolideerde omzet. Ten tweede: wanneer u de wet niet naleeft, loopt uw bedrijf ook risico op reputatieschade.

Wanneer uw bedrijf controle over de vloer krijgt (eventueel na een interne/externe klacht) van de gegevensbeschermingsautoriteit, kunnen de inspecteurs ook uw personeelsgegevens onder de loep nemen.

Concreet: hoe verwerkt u uw personeels- en sollicitantengegevens GDPR-compliant?

Van uw werknemers mag u alle persoonsgegevens bijhouden, verwerken, doorsturen naar het Sociaal Secretariaat … op voorwaarde dat u kunt aantonen dat deze gegevens noodzakelijk zijn, voor bijvoorbeeld payroll administratie, evaluaties, personeelsplanning …

Bij externe overdracht van personeelsgegevens, bijvoorbeeld naar het Sociaal Secretariaat, bent u verplicht na te gaan dat deze externe partijen ook GDPR-compliant zijn. Het verkrijgen van een getekende verwerkingsovereenkomst door het Sociaal Secretariaat is een minimumvereiste.

Voor het gebruik van personeelsgegevens kunt u zich, naast ‘expliciete toestemming van de betrokkene’, op nog andere grondslagen beroepen, zoals: ‘nodig voor de uitvoering van het arbeidscontract’, ‘wettelijke verplichting’, ‘gerechtvaardigd belang’ of ‘vitaal belang’ van de gegevensbetrokkene.

Over de bewaringstermijn van persoonsgegevens is de GDPR zelf tamelijk abstract: persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor ze werden verkregen. U weegt dus best zelf af of het bewaren van de gegevens wel nog verantwoord is. Indien dit niet het geval is, kan u de gegevens beter wissen of anoniem maken. Voor bepaalde documenten zijn er enkele wettelijk voorgeschreven bewaartermijnen in België. Bijvoorbeeld: salarisgegevens met fiscale waarde (7 jaar), een kopie van de identiteitskaart van vorige werknemers (5 jaar), curriculum vitae en getuigschriften (2 jaar).

De gegevens van sollicitanten mogen worden verzameld, opgeslagen en gebruikt als onderdeel van het sollicitatieproces. Ze mogen enkel worden gebruikt om het profiel van de sollicitanten af te toetsen met openstaande vacatures, en niet voor commerciële doeleinden. De gegevens mogen ook enkel beschikbaar worden gesteld voor personen met een gegronde interesse in de data, zoals voor mensen van het HR departement. De persoonsgegevens mogen worden opgeslagen voor de volledige duur van het wervingsproces, en – mits expliciete toestemming - eventueel voor een langere termijn na de datum van de afronding van de sollicitatieprocedure, indien de sollicitant wenst om op de hoogte te blijven van toekomstige vacatures.

Het is ook zeer belangrijk dat alle persoonsgegevens op een beveiligde plaats worden bewaard, bijvoorbeeld in een beveiligd portaal met een persoonlijk wachtwoord, en dat u die beveiliging, net als alles hierboven vermeld, ook kan aantonen bij een eventuele controle.

Uw personeel moet hier ook van op de hoogte zijn

Als bedrijf stelt u best een privacy policy op, zodat uw werknemers en sollicitanten op de hoogte zijn van welke persoonsgegevens worden verwerkt, waarom en waarvoor deze worden gebruikt, hoe lang ze worden bewaard, en welke rechten uw personeel hieromtrent heeft. U stelt ook best een vertrouwelijkheidsovereenkomst op voor alle werknemers die met zowel externe als interne persoonsgegevens in contact komen. Vervolgens is het aangewezen om na te kijken of de bestaande HR procedures “GDPR proof” zijn en, zoniet, om deze aan te passen.

Advies nodig?

Indien u bijkomende vragen heeft over de impact van de GDPR op uw (personeels)gegevens, of indien u hulp wenst bij het GDPR-compliancy traject van uw bedrijf, dan horen we graag van u! Stuur een e-mail naar frederik.vervoort@clipeum.be of bel ons op +32 473 91 05 80.

 

Door: Frederik Vervoort - 9 mei 2018

share: