Het wereldwijde web is bezaaid met
goede raad over de Algemene Verordening Gegevensbescherming (AVG of General
Data Protection Regulation – GDPR), waarbij steevast verwezen wordt naar de
mogelijke sancties, zoals bv. een schadevergoeding van 4% van de wereldwijde
jaaromzet. De cruciale datum is dan 25 mei 2018.
Aangezien het momenteel moeilijk is
om de bomen door het bos te zien, geven we een aantal praktische tips voor uw
personeelsbeleid.
Elke werkgever was reeds verplicht
om werknemers te informeren over de verwerking van persoonsgegevens.
Rekening houdend met de
nieuwigheden, moet momenteel de volgende informatie worden gegeven:
Deze informatie kan in het
arbeidsreglement zijn opgenomen, of bv. eenvoudig per brief worden meegedeeld. De
werknemer moet nergens een akkoord ondertekenen of toestemming verlenen.
De AVG bepaalt dat een werkgever
de persoonsgegevens van zijn werknemers maar mag bewaren “zolang als nodig”. Hieruit
zou men kunnen afleiden dat alle persoonsgegevens omtrent een werknemer automatisch
verwijderd moeten worden, van zodra deze uit dienst treedt.
De AVG voorziet echter dat
persoonsgegevens mogen worden bewaard zolang als nodig om zich te verdedigen
tegen een mogelijke rechtsvordering. Dit betekent dat rekening moet worden
gehouden met de verjaringstermijnen, waarbij in arbeidszaken aan het volgende
kan worden gedacht:
In de praktijk, indien bv. een groepsverzekering wordt aangeboden, betekent dit dat de persoonsgegevens quasi eeuwig mogen/moeten worden bijgehouden. Indien men dit niet zou doen, zou men blind zijn ten opzichte van mogelijke vorderingen.
Indien een werkgever beroep doet
op een dienstverlener (of verwerker) voor de verwerking van de persoonsgegevens
van zijn werknemers (zoals bv. een sociaal secretariaat of een IT bedrijf),
moeten er bepaalde vertrouwelijkheidsgaranties worden voorzien in de
dienstverleningsovereenkomst, m.b.t. de werknemers van de dienstverlener die de
persoonsgegevens daadwerkelijk zullen verwerken. Deze laatsten moeten dus op
een bepaalde manier verplicht zijn om de persoonsgegevens vertrouwelijk te
behandelen.
Dit betekent uiteraard dat indien
uw onderneming persoonsgegevens verwerkt voor andere ondernemingen, en dus als
verwerker wordt beschouwd, de werknemers van uw onderneming gebonden moeten
zijn door een dergelijke vertrouwelijkheidsgarantie.
Deze vertrouwelijkheid kan gedekt
worden door (a) de ondertekening van een specifieke clausule, of (b) doordat
een passende wettelijke verplichting geldt.
In België bestaat artikel 17, 3°,
a) Arbeidsovereenkomstenwet, dat de werknemer verbiedt om alle fabrieksgeheimen,
zakengeheimen of geheimen in verband met persoonlijke of vertrouwelijke
aangelegenheden waarvan de werknemer in de beroepsarbeid kennis neemt openbaar
te maken. In principe zou dit een wettelijke regeling kunnen zijn in toepassing
van de AVG, waardoor de werknemer geen aparte clausule zou moeten ondertekenen.
We stellen echter vast dat in B2B relaties
toch geëist wordt dat de werknemers van de verwerker een aparte
vertrouwelijkheidsclausule ondertekenen, omdat er klaarblijkelijk twijfel bestaat
over of artikel 17, 3°, a) Arbeidsovereenkomstenwet de lading zou dekken. In
voorkomend geval, zou men kunnen aanhouden dat de wettelijke bepaling volstaat,
maar indien dit telkens bij contractonderhandelingen een discussiepunt wordt,
kan dit de operationele en commerciële werking van de onderneming bemoeilijken.
Daarom is het o.i. aangewezen om
de werknemers die persoonsgegevens verwerken in elk geval een vertrouwelijkheidsclausule
te laten ondertekenen. Hiermee ontwijkt men op voorhand al één discussiepunt
bij contractonderhandelingen.
Indien een slim beleid wordt
gevoerd, kunnen een aantal wettelijke verplichtingen eenvoudig worden voldaan, hetgeen
vervolgens nuttig kan zijn voor de commerciële en operationele werking van de
onderneming. Het slim omgaan met de verwerkte persoonsgegevens maakt ook dat
potentiële rechtsvorderingen op gerichte wijze kunnen worden afgeweerd.
Wij kunnen uw onderneming in dit
alles bijstaan, en zijn beschikbaar voor verdere begeleiding. De boodschap is
ook duidelijk: een gewaarschuwd werkgever, is er twee waard!