Per 25 mei 2018 is de nieuwe Europese privacywetgeving van de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG heeft ook voor werkgevers de nodige gevolgen. Het arbeidsrecht en het belastingrecht verplichten de werkgever immers tot het verstrekken van bepaalde persoonsgegevens. Om die persoonsgegevens te kunnen verstrekken zal de werkgever die persoonsgegevens ten minste in enige mate moeten verwerken. En met de verwerking van die persoonsgegevens krijgt ook de werkgever te maken met de privacywetgeving van de AVG.
De AVG en de toepassing daarvan zal voor menig werkgever nog wel een aandachtspunt zijn. Welke ‘papieren’ maatregelen moet een werkgever zoal treffen? Moeten arbeidsovereenkomsten of personeelshandboeken worden aangepast? Te Biesebeek Advocaten in Zwolle kijkt graag met u mee of uw onderneming AVG-proof is. En hebt u (juridische) ondersteuning nodig om uw onderneming AVG-proof te maken? Ook dan kunt u bij ons terecht.
In deze blog vindt u alvast meer informatie over de nieuwe Europese privacywetgeving, bijvoorbeeld wat er onder het begrip ‘verwerken van persoonsgegevens’ valt en de verplichtingen voor u als werkgever.
AVG: Verwerken van persoonsgegevens
De AVG ziet op de verwerking van persoonsgegevens. In de AVG is een ruime omschrijving gegeven wat onder persoonsgegevens wordt verstaan. Kort gezegd wordt onder persoonsgegevens verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het gaat dan niet alleen om naam-, adres- en woonplaatsgegevens van een natuurlijke persoon, maar ook om andere informatie die direct of indirect te herleiden zijn tot een natuurlijke persoon.
De AVG geeft ook een ruime omschrijving wat verstaan moet worden onder verwerking van persoonsgegevens. Zo kunt u onder andere denken aan het verzamelen, vastleggen, opslaan of verspreiden van gegevens, maar bijvoorbeeld ook aan het ordenen of wissen van gegevens. Het begrip ‘verwerking van persoonsgegevens’ is dusdanig breed dat vrijwel elke wijze van verwerking van de gegevens onder het begrip valt.
Naast algemene persoonsgegevens zijn er ook bijzondere persoonsgegevens, waaruit bijvoorbeeld ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken. De verwerking van die bijzondere persoonsgegevens is alleen toegestaan als voldaan is aan bepaalde in de AVG genoemde voorwaarden.
Informatieverplichting van werkgevers
De privacywetgeving van de AVG verplicht de werkgever de betrokken werknemer te informeren wanneer de werkgever begint met het verzamelen van persoonsgegevens. De werkgever moet sowieso de volgende informatie aan de betrokken werknemer verstrekken:
- de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van diens vertegenwoordiger (de verwerkingsverantwoordelijke is niet alleen de werkgever zelf, maar ook andere door de werkgever ingeschakelde of in te schakelen organisaties die in het kader van de arbeidsovereenkomst persoonsgegevens verwerken);
- de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking (voor de werkgever geldt de gesloten arbeidsovereenkomst als rechtsgrond voor de verwerking van persoonsgegevens);
- de betrokken categorieën van persoonsgegevens;
- de bron waar de persoonsgegevens vandaan komen;
- de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
- de rechten die de betrokken werknemer heeft met betrekking tot de verwerking van zijn persoonsgegevens (onder andere recht op inzage, rectificatie of wissing van persoonsgegevens);
- de rechten die de betrokken werknemer heeft om zich te beklagen bij een toezichthoudende instantie.
Bovenstaande informatie moet binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens door de werkgever aan de betrokken werknemer worden verstrekt. De informatieverstrekking kan plaatsvinden middels een zogenaamde privacyverklaring.
Wij raden aan om de informatie die aan de werknemer dient te worden verstrekt tijdig in kaart te hebben en een model van de privacyverklaring op te stellen. Op deze manier bent u goed voorbereid op de AVG. Heeft u vragen over de informatie die u aan uw werknemer ter beschikking dient te stellen of over het opstellen van een privacyverklaring? Neem dan vrijblijvend contact met ons op en ontdek wat wij voor u kunnen betekenen.
Overige verplichtingen AVG: Register en maatregelen
De AVG schrijft voor dat grote werkgevers (zij die 250 of meer werknemers in dienst hebben) een register moet houden van de verwerkingsactiviteiten van persoonsgegevens. Onder bepaalde omstandigheden zijn echter ook kleine werkgevers verplicht een register te houden. Alle werkgevers zijn verplicht om passende en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met de privacywetgeving van de AVG wordt uitgevoerd. Die getroffen maatregelen moeten bovendien worden geëvalueerd en indien nodig geactualiseerd.
Boete
Het niet-voldoen aan de privacywetgeving van de AVG kan gesanctioneerd worden met een boete. Zo’n boete kan oplopen tot 10 miljoen euro of 2% van de totale wereldwijde omzet in het voorgaande boekjaar en zelfs tot 20 miljoen euro of 4% van de totale wereldwijde omzet indien sprake is van een ernstige overtreding van de AVG.