GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst

GDPR en personeelsgegevens: 4 praktische tips voor de hr-dienst

U heeft er zeker al over gehoord: de GDPR of de nieuwe wetgeving rond privacy.  Op 25 mei 2018 treedt deze befaamde General Data Protection Regulation (EU-wet bescherming van persoonsgegevens of GDPR) in werking, ook in België. Dat heeft ook voor uw onderneming, hoe groot of klein ook, implicaties. Heeft u personeel in dienst, dan bepaalt deze wet voortaan de manier waarop u met personeelsgegevens omgaat. We geven u 4 praktische tips om u tijdig in regel te stellen.

Wetgeving rond privacy is uiteraard niet nieuw.  De Europese verordening die in mei 2018 van kracht gaat, is wel veel strenger qua toepassingsgebied dan de vroegere wetten en legt ook sancties op. Bent u vanaf dan niet in orde met deze wetgeving en krijgt u een klacht, dan riskeert u hoge boetes. Met deze 4 tips vermijdt u die.

1. U heeft meer persoonsgegevens in handen dan u wellicht vermoedt. Breng ze in kaart!

Wat zijn nu juist die persoonsgegevens? U heeft van uw personeelsleden veel gegevens. Die reiken uiteraard veel verder dan enkel naam, voornaam, geslacht, leeftijd, adres… U beschikt ook over cv’s van sollicitanten, evaluaties, camerabeelden, medische attesten, waarschuwingsbrieven, foto’s op het intranet, controles op e-mail en internetgebruik, gegevens m.b.t. tijdsregistratie,… enz.

Al deze gegevens moet u in kaart brengen. Een handige tool hiervoor is het register van de privacycommissie. Dat wordt gratis ter beschikking gesteld.

2. Check op welke grondslag u zich kan beroepen voor het gebruik van de gegevens

De voorwaarden voor het bekomen van toestemming van een betrokkene om over zijn gegevens te beschikken en ze te gebruiken, zijn veel strenger geworden onder de GDPR. Zo moet u altijd toestemming vragen aan een betrokkene en moet die toestemming te allen tijde vrij, aantoonbaar en intrekbaar zijn.

Weet dat het bekomen van een “vrije”  toestemming  binnen een werknemer- werkgeversrelatie altijd voor discussie vatbaar is. Daarom deze tip: toestemming is één mogelijke grondslag, maar er zijn nog andere grondslagen waarop u zich kan beroepen!

Als de verwerking van de gegevens:

  • noodzakelijk is voor de uitvoering van een overeenkomst
  • nodig is om te voldoen aan een wettelijke verplichting
  • of wanneer er sprake is van gerechtvaardigd belang

Dan kan de verwerking van die gegevens ook gebeuren zonder toestemming.

We geven enkele voorbeelden: zo is het verwerken van de naam,  adresgegevens en het rekeningnummer van de werknemer gerechtvaardigd op grondslag van de uitvoering van een overeenkomst. Voor het gebruiken van gegevens uit een evaluatie kan u als grondslag het gerechtvaardigd belang aantonen.

3. Stel de nodige policies op

Enerzijds moet u een policy opstellen waarin u uw werknemer op de hoogte brengt van welke persoonsgegevens u van hem of haar verwerkt, waarom en op welke grond u deze verwerkt, hoe lang u deze gegevens bewaart en welke rechten zij hebben.

Anderzijds stelt u best ook een policy of gedragscode op voor uw werknemers waarin u beschrijft hoe zij met vertrouwelijke persoonsgegevens van klanten, leveranciers en andere stakeholders moeten omgaan in de dagelijkse uitoefening van hun job.

Tot slot verifieert u best of uw huidige policies (internet- en e-mailbeleid, camerabewaking) GDPR- proof zijn!

4. Breng de bewaartermijnen in kaart

De GDPR stelt voorop dat persoonsgegevens niet langer mogen worden bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij werden verkregen of verder worden verwerkt. Met deze abstracte regel als richtlijn moet u dus afwegen of gegevens bewaren nog wel verantwoord is, rekening houdend met de doeleinden die oorspronkelijk werden vastgelegd. Is dit niet het geval, dan moet u die gegevens wissen of anoniem maken. De onbepaalde bewaring van persoonsgegevens is dus slechts zeer uitzonderlijk geoorloofd.

Breng bewaartermijnen dus in kaart en check ze aan de hand van geldende regelgevingen.

Een voorbeeld: hoe lang houdt u een waarschuwingsbrief bij? Om die bewaartermijn te bepalen, houdt u best rekening met de wettelijke termijnen waarbinnen een werknemer zijn ontslag kan aanvechten.

Meer weten over hoe u zich in regel stelt met de GDPR?

Check de opleiding:

Advies nodig?

Check onze service packs rond GDPR.