Alle Persberichten

Bekijk hier onze bedrijfsvideo


Bekijk de Video
 
Binnen tien dagen gaat de General Data Protection Regulation – beter bekend als GDPR – van kracht. Grote én kleine bedrijven moeten dan voldoen aan deze verstrengde Europese privacyregels. Wat zijn de meest voorkomende vragen die HR-dienstenverlener SD Worx binnenkrijgt over GDPR?

Verhoogde belangstelling tien dagen vóór ingangsdatum

Zoë Baats, Adviseur Juridisch Kenniscentrum van SD Worx: “De ‘deadline’ van 25 mei is uiteraard reëel. Het is belangrijk om minstens de voorbereiding op te starten en na 25 mei nog verder te werken. Het is geen eindpunt. Er is absoluut een verhoogde belangstelling; van paniek bij personeelsverantwoordelijken zou ik niet spreken. Meer dan vijfhonderd organisaties namen al deel aan infosessies die we zelf organiseren of bijvoorbeeld samen met Voka. Ze maken zelf een overzicht van alle datagegevens of ze vragen ons een doorlichting. We helpen hen bijvoorbeeld met een privacy policy op te stellen of met het opdelen in categorieën van persoonsgegevens, zoals werknemersvoordelen, prestatiegegevens en rekruteringsinformatie. Het is zeker nog niet te laat. Ook na 25 mei geven we ondersteuning.”

1.Wat zijn de bewaartermijnen voor personeelsgegevens?

Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt weliswaar geen expliciete bewaartermijnen op, maar laat evenmin toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. Zo bepaalt bijvoorbeeld de wet voor een resem van sociale en fiscale documenten minimum bewaartermijnen. Voor die documenten waarvoor geen wettelijke termijn geldt, zal de werkgever zelf moeten oordelen hoelang hij een document bewaart. De werkgever zal de bewaartermijn dan t.a.v. de Gegevensbeschermingsautoriteit moeten kunnen verantwoorden

2. Wat is de impact op het arbeidsreglement of de individuele arbeidsovereenkomst?

Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacy-clausules moeten opnemen. Dat klopt niet, al bent u als werkgever wel verplicht om uw werknemers te informeren over wat er met hun gegevens gebeurt. Een privacy-beleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.

3. Is de toestemming van de werknemer voor alle gegevens nodig?

Hebt u voortaan toestemming nodig om foto van uw werknemer in het interne bedrijfstelefoonboekje te plaatsen? Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.

Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet per se vereist: u kan zich baseren op de contractuele relatie tussen werkgever en werknemer. Het contract dat u met uw medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft u het recht om de gegevens te verwerken die u nodig hebt om aan uw contractuele verplichting te kunnen voldoen.

4. Zijn we verplicht een Data Protection Officer (DPO) aan te stellen en is die DPO beschermd tegen ontslag?

Slechts drie soorten bedrijven zijn verplicht een DPO aan te stellen:

  • overheidsbedrijven;
  • organisaties die bijzondere data, zoals strafrechtelijke gegevens, verwerken;
  • bedrijven die dagelijks een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens verwerken, zoals ziekenhuizen, verzekeraars of banken.

Natuurlijk kan elk bedrijf vrijwillig een DPO aanstellen. Een DPO is altijd beschermd tegen ontslag, zolang de functie correct wordt uitgevoerd.

5. Moet een kmo een dataregister opstellen?

De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:

  • data die een risico vormen voor iemands rechten en vrijheden;
  • gevoelige informatie: raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid;
  • gerechtelijke informatie: gegevens over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen;
  • data met betrekking op derden, zoals klanten of leveranciers en werknemers.