22 september 2018 GDPR voor werkgevers
Posted at 08:52h
in Arbeids- en sociaalzekerheidsrecht, Arbeidsrecht, Data protection & privacy (GDPR)
Sedert 25 mei 2018 moeten ondernemingen (hoe klein ook) in overeenstemming handelen met de strengere Europese regels over de bescherming van de persoonsgegevens. Maar wat betekent GDPR nu precies voor u als werkgever?
We overlopen de belangrijkste krachtlijnen :
- Indien u als werkgever persoonsgegevens verwerkt dan moet hiervoor een relevante rechtsgrond aan de basis liggen :
- noodzaak voor de uitvoering van de overeenkomst
- wettelijke verplichting
- gerechtvaardigd belang
- toestemming van de werknemer
- U moet als werkgever er zorg voor dragen dat de verwerking van persoonsgegevens beantwoordt aan de volgende criteria:
- gebonden aan een doel
- integer en vertrouwelijk
- terzake dienend
- juistheid
- rechtmatig, behoorlijk en transparant
- beperkte bewaring
- geen gevoelige persoonsgegevens (ras, religie,…)
- Elke onderneming moet een dataregister bijhouden, dat is een overzicht van alle gegevensverwerkingen (wie is verantwoordelijk voor de verwerking van de persoonsgegevens, welke gegevens worden verwerkt, de bewaartermijn, de beveiligingsmaatregelen,…). Dit dataregister dient de werkgever actueel bij te houden door periodieke bijwerking. Er rust op de werkgever als het ware een documentatieplicht.
- Werknemers van wie de gegevens worden verwerkt, beschikken over heel wat rechten ( cfr. inzage of wissen van gegevens). Daarenboven dienen de werknemers voldoende ingelicht te worden over wie verantwoordelijk is voor de verwerking van de persoonsgegevens, welke gegevens worden verwerkt, welke de doeleinden van de verwerking zijn, de termijn van opslag van de gegevens, het recht om een klacht in te dienen bij de Privacycommissie,…. Transparantie over de verwerking van persoonsgegevens is het uitgangspunt.
- Vergeet niet uw arbeidsreglement, individuele contracten e.d.m. GDPR proof te maken.
- Verwerkt u op grote schaal persoonsgegevens of zijn de data van gevoelige aard, dan moet u een Data Protection Officer (DPO) benoemen. Er kan hiervoor iemand intern of extern worden benoemd. Hij of zij ziet toe op het privacybeleid en coördineert alle acties.
- Voorzie een procedure voor het opsporen, rapporteren en onderzoeken van lekken in de databescherming.
- Als u internationaal actief bent, moet u bepalen onder welke toezichthoudende autoriteit u valt.
Het is van belang om de GDPR regelging correct na te leven omdat u anders een boete riskeert die kan oplopen tot 4% van de wereldwijde omzet van het voorgaande boekjaar tot maximum 20 miljoen EUR.
Heeft u nog vragen? Neem dan contact op met een van onze experten inzake arbeidsrecht en GDPR