Vandaag 25 mei treedt de GDPR (of de Algemene Verordening Gegevensbescherming) in alle Europese lidstaten in werking. Kort samengevat legt de nieuwe verordening de spelregels vast voor de verwerking van persoonsgegevens.

Over welke persoonsgegevens gaat het?

Het gaat over alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het kan gaan om de naam van een persoon, een foto, een telefoonnummer (zelfs voor beroepsdoeleinden), een code, van een bankrekeningnummer, een e-mailadres, een vingerafdruk, het IP-adres van een computer, enz.

Bijgevolg zijn gemiddelde en anonieme gegevens géén persoonsgegevens en vallen ze niet on der GDPR. Voorbeelden zijn loon- en opleidingsgegevens in de sociale balans, rapporten met globale cijfers van de arbeidsgeneesheer,....) Voorwaarde is dat de beoogde groepen voldoende groot zijn en een indirecte identificatie onmogelijk is.

Stel dat er binnen een onderneming maar een zeer kleine groep arbeiders is, dan dreigen de gegevens over die groep een identificatie mogelijk te maken. Bijgevolg vallen ze onder de GDPR. Dat kan relevant zijn om te weten als werknemer(svertegenwoordiger).

De GDPR mag dan ook niet als voorwendsel gebruikt worden door de werkgevers om te ontsnappen aan de wettelijke verplichtingen in het kader van de informatie- en consultatie voor werkmersvertegenwoordigers.

Rechtmatig, behoorlijk en transparant

GDPR gaat uit van het principe van rechtmatige, behoorlijke en transparante verwerking. Het komt erop neer dat men enkel aan de slag mag met jouw gegevens, als daar een goede reden voor is (en die staan netjes beschreven in de GDPR). Bovendien moet je daarover duidelijk en in begrijpelijke taal worden ingelicht als betrokken persoon.

Verplichtingen van de werkgever naar de werknemer toe

Het is interessant en belangrijk om te weten welke informatie de werkgever moet meedelen aan de werknemers bij de invoering van de GDPR en vooral ook volgens welke modaliteiten.

Artikel 13 van de GDPR verplicht de werkgever om de werknemer op de hoogte te brengen van een aantal zaken vanaf het moment dat hij de gegevens van het personeelslid verzamelt. Dat is dus bij het afsluiten van het arbeidscontract.

Welke elementen moet de werkgever kenbaar maken?

1. Wie verzamelt de gegevens en wie is de DPO (als die is aangesteld)?

2. Waarom worden deze gegevens verzameld? In een individuele arbeidsrelatie worden persoonsgegevens doorgaans verzameld met het oog op de personeels- en loonadministratie. De voornaamste persoonsgegevens die hiervoor worden verwerkt, zijn:

o persoonsgegevens van identificatie: naam, voornaam, adres, telefoon, GSM, enz.

o persoonlijke kenmerken: nationaliteit, geboortedatum, geboorteplaats, geslacht, taal

o rijksregisternummer

o elektronische identificatiegegevens: e-mailadres, IP-adres, enz.

o financiële gegevens: bankrekeningnummer

o kandidatuurgegevens (gevolgde opleiding, ervaring,...);

o gegevens die nodig zijn om het loon te bepalen, met inbegrip van het veranderlijke loon en de evaluatie van de prestaties, de premies, de groepsverzekering,...;

o gegevens die nuttig zijn voor de toepassing van de sociale en fiscale wetgeving (bijvoorbeeld de gezinssituatie);

o gegevens die nuttig zijn voor de tewerkstelling (uurroosters, functiebeschrijving, overeenkomsten, doelstellingen die de werknemer moet verwezenlijken in zijn functie, competenties die hij moet hebben of verwerven, ...);

o opleidingsgegevens (gevolgde vormingen, geplande vormingen, vormingsnoden,...) ;

o gegevens m.b.t. de planning van de loopbaan, ...

3. Wie ontvangt de persoonsgegevens?

Dat gaat in het algemeen om het sociaal secretariaat, de verzekeraar arbeidsongevallen, de RSZ, de belastingadministratie, de bankinstellingen, kinderbijslagfondsen, vakantiefondsen, de tweedepijlerverzekeraar, de externe dienst voor preventie en bescherming op het werk, de advocaat van de werkgever, de leden van het de ondernemingsraad/CPBW, de vakbondsdelegatie, enz.

4. Hoelang worden de gegevens bewaard? Doorgaans bedraagt de opslagperiode van sociale documenten 5 jaar, te tellen vanaf het einde van de arbeidsovereenkomst. Als werknemer heb je niet enkel het recht om te verzoeken om inzage en correctie van je persoonsgegevens, maar in bepaalde omstandigheden kan een werknemer aan zijn werkgever vragen om zijn persoonsgegevens te wissen. Dat kan enkel in specifieke situaties en enkel als er geen geldig tegenargument is. Verder heb je het recht om klacht in te dienen bij een toezichthoudende autoriteit

Ook als een werkgever met een datalek wordt geconfronteerd, is hij onder bepaalde omstandigheden verplicht de werknemers hierover in te lichten.

5. Als de persoonsgegevens van de werknemer niet rechtstreeks bij hem zijn opgevraagd, maar elders zijn gehaald, dan is de werkgever verplicht om de gegevenscategorieën aan te geven, alsook de bron vanwaar de gegevens komen (met de expliciete vermelding of het een openbare bron betreft). De ‘gegevenscategorie’ betreft doorgaans gegevens m.b.t. de job (loopbaangegevens, arbeidsgeneeskunde, enz.), gegevens afkomstig uit de sociale zekerheid (werkloosheid, sociale bijdragen, enz.) en financiële gegevens (bijvoorbeeld beslag op loon);

De bron slaat meestal op de RSZ, de Kruispuntbank van de Sociale Zekerheid, enz.

De GDPR bepaalt dat de werkgever de werknemers moet inlichten over zijn beleid rond persoonsgegevensverwerking. Dat moet op beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke wijze, in duidelijke en eenvoudige termen. De informatie wordt schriftelijk en eventueel elektronisch verstrekt.

In het kader van de arbeidsrelaties, is dat mogelijk via het arbeidsreglement, hoewel dat misschien niet het meest geschikte middel is. Een specifiek document ‘privacy statement/policy’ is meer aangewezen. Dat document zou aan elke nieuwe werknemer overhandigd moeten worden en beschikbaar zijn op ieder moment.