Europese Privacy Verordening: werkgever, weet jij hoe het zit?
Op 25 mei 2018 treedt de nieuwe Europese Verordening omtrent de bescherming van persoonsgegevens in werking. Deze verordening heet: Algemene Verordening inzake Gegevensbescherming en wordt afgekort als AVG. Internationaal is deze Verordening bekend als de General Data Protection Regulation, of te wel GDPR. Het belang van deze nieuwe regels over persoonsgegevensverwerking is voor de arbeidsrechtpraktijk evident: werkgevers verwerken immers op veel en uiteenlopende manieren persoonsgegevens. Naast de gebruikelijke gegevens die bijvoorbeeld in de personeelsadministratie worden verwerkt, worden mogelijk ook gegevens verwerkt met betrekking tot (controle op) aanwezigheid op het werk. Denk bijvoorbeeld cameratoezicht of GPS-trackingssystemen voor chauffeurs. Gegevensverwerking begint al in de sollicitatiefase, bij het opslaan van CV’s en bijbehorende gegevens.
De opstellers van de AVG hebben met opzet (afschrikwekkend!) hoge sancties gezet op niet-naleving van de nieuwe regels om de urgentie van de naleving kracht bij te zetten. Reden genoeg dus voor werkgevers om zich in de AVG te verdiepen.
Hoe zat het eerst?
Tot 25 mei 2018 werk(t)en we met de Wet Bescherming Persoonsgegevens (WBP). Deze wet wordt dus vervangen door de AVG. Gelukkig verandert daarmee niet alles. Als werkgevers goed in lijn handelen met de huidige regels als neergelegd in de WBP, geeft dat een goed vertrekpunt voor compliance met de nieuwe regels.
Wat blijft hetzelfde?
Voor de kwalificatie wanneer sprake is van een persoonsgegeven, geldt de definitie dat wanneer iemands identiteit direct of zonder onevenredige inspanning kan worden vastgesteld, er sprake is van een persoonsgegeven. Degene die het doel van de gegevensverwerking vaststelt, blijft de verwerkingsverantwoordelijke. De algemene beginselen voor de gegevensbewerking blijven gelijk: het betreffen de beginselen van rechtmatigheid, behoorlijkheid, transparantie en vertrouwelijkheid. Ook het beginsel van doelbinding (gegevens mogen alleen verwerkt worden voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen) en van minimale gegevensbescherming (gegevens mogen alleen verwerkt worden voor zover toereikend, terzake dienend en niet bovenmatig), blijven ook onverkort gelden. Het bewaren mag bovendien ook onder de nieuwe regels nooit langer dan noodzakelijk voor de verwezenlijking van het doel van de verwerking.
De WBP gaf een limitatieve lijst van mogelijke verwerkingsgronden waarvan voor de arbeidsrechtpraktijk de volgende vier relevant zijn:
Toestemming van de betrokkene;
De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (bijvoorbeeld een arbeidsovereenkomst);
De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verantwoordelijke rust;
De verantwoordelijke heeft een gerechtvaardigd belang bij de verwerking, dat dient te prevaleren boven dat van de betrokkene.
Ook deze verwerkingsgronden blijven gehandhaafd onder de AVG. Daarnaast blijven afwijkende regels gelden voor bijzondere categorieën van persoonsgegevens zoals godsdienst, ras, politieke gezindheid, seksuele geaardheid, vakbondslidmaatschap en medische- en of strafrechtelijke gegevens.
Tenslotte blijft de regelgeving omtrent doorgeven van persoonsgegevens naar landen buiten de EU vrijwel ongewijzigd in stand, iets wat in de arbeidsrechtelijke praktijk veel bij multinationals gebeurt. De hoofdregel is dat een organisatie personeelsgegevens alleen mag doorgeven buiten de EU, als deze landen zelf ook een passend beschermingsniveau hanteren (garanderen). Welke landen dit zijn, is terug te vinden op een door het Europese Hof van Justitie uitgegeven lijst [1]. Wil je als werkgever toch gegevens doorgeven aan een land dat niet over een passend beschermingsniveau beschikt, heb je de ondubbelzinnige instemming van de betrokkene nodig. Dit vereiste is alleen te omzeilen wanneer er binnen het bedrijf “binding corporate rules” zijn voorgeschreven, die ter goedkeuring aan de bevoegde privacy toezichthouder zijn voorgelegd, en die het delen van de gegevens als omschreven toestaan. Het ligt in de lijn der verwachting dat met name grote multinationals na inwerkingtreding van de AVG op grote schaal voor deze optie zullen kiezen.
Wat verandert er?
De betrokkene (werknemer) krijgt meer rechten.
Zo wordt het recht op inzage uitgebreid. Behalve het inzien zelf, krijgt de betrokkene ook recht op informatie over hoelang de verantwoordelijke gegevens beoogt te bewaren, of de gegevens worden gebruikt voor automatische besluitvorming, of de werkgever voornemens is de gegevens naar het buitenland te transporteren en zo ja, welke waarborgen hij daarvoor heeft voorzien. Ook dient de werkgever te informeren over zaken als het recht op een rectificatie en het recht om een klacht in te dienen bij de privacy toezichthouder.
De AVG geeft de werknemer een expliciet recht op een kopie van het volledige personeelsdossier. Bij het verstrekken van die kopie moet de verantwoordelijke (werkgever) nagaan of de privacyrechten van derden daarmee niet worden geschonden. Denk bijvoorbeeld aan een collega of een contactpersoon bij een klant. Tot nu toe gold in Nederland altijd een nuance dat het recht van een werknemer om een kopie van zijn personeelsdossier te vragen, zich niet uitstrekte tot interne notities die persoonlijke gedachten van de medewerkers van de werkgever bevatten en uitsluitend bedoeld zijn voor intern overleg. We moeten afwachten of deze lijn ook onder de AVG de toets der kritiek zal doorstaan.
Een tweede wijziging is het recht van vergetelheid. Dit recht ontstaat als de verwerking niet langer nodig is voor de verwezenlijking van het doel, als de toestemming van de werknemer is ingetrokken of als de werknemer terecht bezwaren maakt (bijvoorbeeld wanneer de rechtsgrond voor de verwerking ontbreekt).
De AVG kent verder het recht op beperking van de verwerking. Bepaalde gegevens zouden daarmee moeten worden gemarkeerd zodat voor de werkgever duidelijk is voor welke doeleinden de verwerking is uitgesloten, althans voor de verwerking waarvan de werknemer geen toestemming heeft gegeven. Hoe dit zich in praktische zin gaat ontwikkelen, moet nog worden afgewacht. Als de werknemer een verzoek indient, dient de werkgever daar in beginsel binnen een maand op te reageren.
Tegenover deze uitbreiding van rechten voor de werknemer, staat een uitbreiding van verplichtingen voor de werkgever (verwerkingsverantwoordelijke).
De werkgever moet de werknemer informeren over het doel van de verwerking, de contactgegevens van de functionaris gegevensbescherming (die de werkgever dus aangesteld moet hebben), de bewerkers die in het kader van de arbeidsrelatie gegevens van de werknemer zullen verwerken, of de werkgever gegevens naar het buitenland zal transporteren en zo ja, welke waarborgen er zijn, waar de werknemer heen kan in geval van klachten enzovoorts. Daarbij moet de werkgever aangeven hoelang hij de gegevens zal bewaren en dat een werknemer het recht heeft om eerder gegeven toestemming in te trekken.
Anders gezegd, bij aanvang van de arbeidsrelatie moet de werkgever een informatiebrief over de privacy opmaken, waarin alle rechten op privacy gebied zijn neergelegd.
De AVG introduceert de documentatieplicht (waarmee de doorhaling van een meldingsplicht is komen te vervallen). Werkgevers dienen een register bij te houden van hun verwerkingsactiviteiten, waarbij alle hiervoor bedoelde informatieverstrekking aan de werknemers ook voor de eigen administratie moet worden vastgelegd. Deze plicht geldt voor grotere ondernemingen (250 werknemers of meer) en voor ondernemingen die op grote schaal gegevens van individuen verwerken (denk bijvoorbeeld aan recruitment bedrijven) of indien er sprake is van verwerking van gevoelige persoonsgegevens (zoals bijvoorbeeld bij arbodiensten).
Een derde wijziging voor werkgevers is de verplichting voor sommige bedrijven om een functionaris voor de gegevensverwerking aan te stellen. Dat moet wanneer de verwerking door een werkingsverantwoordelijke wordt uitgevoerd die als kern – en als hoofdtaak heeft – verwerkingsactiviteiten uit te voeren die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen; of wanneer de onderneming hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens.
Hoe deze uiterst vage definitie moet worden ingevuld, is nog onduidelijk.
Een vierde wijziging is de verplichting tot verbeterde beveiliging van persoonsgegevens aan de hand van een methodische aanpak waarbij een zogeheten gegevensbeschermingseffectbeoordeling (privacy impact assessment) moet plaatsvinden. Dit vergt voornamelijk input op ICT-gebied. Een IT-auditor kan werkgevers hierbij van dienst zijn.
Tenslotte komt de meldplicht bij datalekken aan bod. Deze plicht is voor Nederland niet nieuw, aangezien de WBP deze ook al kent. In arbeidsrechtelijke context valt te denken aan een werknemer die een gegevensdrager, bijvoorbeeld een smartphone, in de trein laat liggen of dat een bepaald afgeschermd onderdeel van een HR-systeem per ongeluk toegankelijk wordt voor het hele bedrijf. Zulke incidenten moeten onder omstandigheden worden gemeld bij de Autoriteit Persoonsgegevens [2].
Toestemming van de werknemer?
Werkgevers vragen op grote schaal toestemming van de werknemer om toch in ieder geval aan een van de gronden voor verwerking te hebben voldaan. Er moet echter sprake zijn van een vrije, specifieke, en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt. Toestemming van de betrokkene in een arbeidsrelatie betreft een zeer onzekere verwerkingsgrond. Dit wordt in de considerans bij de AVG expliciet benoemd. Toestemming in een arbeidsrelatie zal niet snel aan de genoemde vereisten voor rechtsgeldigheid voldoen, gegeven de afhankelijkheidsrelatie tussen werkgever en werknemer. Zeker wanneer een toestemming algemeen is geformuleerd, is de kans dat de werkgever daarmee een afdoende grond voor verwerking heeft, zeer klein.
Overige wijzigingen
Het one-stop-shop-principe:
In internationale situaties komt één leidende privacy toezichthouder, die wordt aangesteld door de lidstaat waar de hoofdvestiging van de groep ondernemingen ligt. Die toezichthouder is de enige gesprekspartner van een multinational en zal waar nodig overleg plegen met de autoriteit van andere betrokken landen.Strengere regels voor verwerkers
Werkgevers maken op grote schaal gebruik van derden (arbodiensten, HR-diensten enzovoorts) die onder de AVG uitvoerige garanties moeten bieden voor de naleving daarvan. Tussen de werkgever en die derden moeten bewerkersovereenkomsten worden gesloten, die voldoen aan de uitvoerige vereisten van de AVG [3].
Een hoger sanctierisico
Voor inbreuken op de Verordening kan een boete oplopen tot € 10 mio of voor ondernemingen, tot 2% van het totale wereldwijde jaaromzet in het voorafgaande boekjaar. Deze hoge boetes staan op onder meer het niet-nalezen van de plicht tot het aanstellen van een functionaris voor gegevensbescherming of de plicht tot het bijhouden van een verwerkingsregister. Voor andere, zwaardere overtredingen, geldt een boete van maximaal € 20 mio of 4% van het totale wereldwijde jaaromzet in het voorafgaande boekjaar. Deze zware boetes gelden in gevallen waarin de basisbeginselen niet worden nageleefd of gegevensverwerking zonder rechtsgrond plaatsvindt.
Meer weten? Kaper Nooijen Advocaten organiseert een seminar over dit onderwerp op donderdag 19 april as. Je bent van harte welkom.
[1] Deze lijst is vindbaar via http://ec.europa.eu/justice/dataprotection/international/transfers/adequ...
[2] De omstandigheden waarop gedoeld wordt, is wanneer het gaat om gevoelige persoonsgegevens of wanneer er om andere reden sprake is van een kans op ernstig nadelige gevolgen voor de bescherming van de persoonsgegevens.
[3] Kaper Nooijen Advocaten helpt je graag bij het opmaken van die bewerkersovereenkomsten.