Het wereldwijde web is bezaaid met goede raad over de Algemene Verordening Gegevensbescherming (AVG of General Data Protection Regulation – GDPR), waarbij steevast verwezen wordt naar de mogelijke sancties, zoals bijvoorbeeld een schadevergoeding van 4% van de wereldwijde jaaromzet. De cruciale datum is dan 25 mei 2018.

Aangezien het momenteel moeilijk is om door de bomen het bos te zien, geven we een aantal praktische tips voor uw personeelsbeleid.

Moeten de werknemers informatie ontvangen?

Elke werkgever was reeds verplicht om werknemers te informeren over de verwerking van persoonsgegevens.

Rekening houdend met de nieuwigheden, moet momenteel de volgende informatie worden gegeven:

•           De rechtsgrond van de verwerking: de uitvoering van de arbeidsovereenkomst in combinatie met de wettelijke verplichtingen voornamelijk m.b.t. belastingen en sociale zekerheid.
•           De aard van de persoonsgegevens die worden verwerkt: bv. naam, familiale situatie, burgerlijke staat, geboortedatum, …
•           De oorsprong van de gegevens.
•           Het doel van de verwerking: loonadministratie en voldoen van wettelijke verplichtingen (voornamelijk m.b.t. belastingen en sociale zekerheid), alsook personeelsadministratie in het algemeen.
•           Eventuele dienstverleners die persoonsgegevens ontvangen.
•           De gevolgen van het weigeren van het overdragen van de persoonsgegevens.
•           De verschillende rechten van de werknemer omtrent de persoonsgegevens (toegang, verbetering, …).
•           Eventuele automatische besluitvorming bij de werkgever.
•           Het al dan niet verzenden van de persoonsgegevens naar buiten de Europese Unie. Hierbij kan men bv. al denken aan de locatie van de Cloud server.
•           De bewaartermijn van de persoonsgegevens.
•           De mogelijkheid tot het indienen van een klacht bij de Gegevensbeschermingsautoriteit.

Deze informatie kan in het arbeidsreglement zijn opgenomen, of bijvoorbeeld eenvoudig per brief worden meegedeeld. De werknemer moet nergens een akkoord ondertekenen of toestemming verlenen.

Hoe lang mogen gegevens van werknemers worden bewaard?

De AVG bepaalt dat een werkgever de persoonsgegevens van zijn werknemers maar mag bewaren “zolang als nodig”. Hieruit zou men kunnen afleiden dat alle persoonsgegevens omtrent een werknemer automatisch verwijderd moeten worden, van zodra deze uit dienst treedt.

De AVG voorziet echter dat persoonsgegevens mogen worden bewaard zolang als nodig om zich te verdedigen tegen een mogelijke rechtsvordering. Dit betekent dat rekening moet worden gehouden met de verjaringstermijnen, waarbij in arbeidszaken aan het volgende kan worden gedacht:

•           Opzeggingsvergoeding: 1 jaar na einde arbeidsovereenkomst;
•           Loon: 5 jaar na einde arbeidsovereenkomst;
•           Groepsverzekering: 5 jaar na pensionering, dus binnenkort totdat de (ex-)werknemer 72 jaar is geworden.

In de praktijk, indien bijvoorbeeld een groepsverzekering wordt aangeboden, betekent dit dat de persoonsgegevens quasi eeuwig mogen/moeten worden bijgehouden. Indien men dit niet zou doen, zou men blind zijn ten opzichte van mogelijke vorderingen.

Wat met persoonsgegevens verwerkt door dienstverleners?

Indien een werkgever beroep doet op een dienstverlener (of verwerker) voor de verwerking van de persoonsgegevens van zijn werknemers (zoals bijvoorbeeld een sociaal secretariaat of een IT bedrijf), moeten er bepaalde vertrouwelijkheidsgaranties worden voorzien in de dienstverleningsovereenkomst, met betrekking tot de werknemers van de dienstverlener die de persoonsgegevens daadwerkelijk zullen verwerken. Deze laatsten moeten dus op een bepaalde manier verplicht zijn om de persoonsgegevens vertrouwelijk te behandelen.

Dit betekent uiteraard dat indien uw onderneming persoonsgegevens verwerkt voor andere ondernemingen, en dus als verwerker wordt beschouwd, de werknemers van uw onderneming gebonden moeten zijn door een dergelijke vertrouwelijkheidsgarantie.

Deze vertrouwelijkheid kan gedekt worden door (a) de ondertekening van een specifieke clausule, of (b) doordat een passende wettelijke verplichting geldt.

In België bestaat artikel 17, 3°, a) Arbeidsovereenkomstenwet, dat de werknemer verbiedt om alle fabrieksgeheimen, zakengeheimen of geheimen in verband met persoonlijke of vertrouwelijke aangelegenheden waarvan de werknemer in de beroepsarbeid kennis neemt openbaar te maken. In principe zou dit een wettelijke regeling kunnen zijn in toepassing van de AVG, waardoor de werknemer geen aparte clausule zou moeten ondertekenen.

We stellen echter vast dat in B2B relaties toch geëist wordt dat de werknemers van de verwerker een aparte vertrouwelijkheidsclausule ondertekenen, omdat er klaarblijkelijk twijfel bestaat over of artikel 17, 3°, a) Arbeidsovereenkomstenwet de lading zou dekken. In voorkomend geval, zou men kunnen aanhouden dat de wettelijke bepaling volstaat, maar indien dit telkens bij contractonderhandelingen een discussiepunt wordt, kan dit de operationele en commerciële werking van de onderneming bemoeilijken.

Daarom is het ons inziens aangewezen om de werknemers die persoonsgegevens verwerken in elk geval een vertrouwelijkheidsclausule te laten ondertekenen. Hiermee ontwijkt men op voorhand al één discussiepunt bij contractonderhandelingen.

Conclusie: valkuilen en obstakels vermijden!

Indien een slim beleid wordt gevoerd, kunnen een aantal wettelijke verplichtingen eenvoudig worden voldaan, hetgeen vervolgens nuttig kan zijn voor de commerciële en operationele werking van de onderneming. Het slim omgaan met de verwerkte persoonsgegevens maakt ook dat potentiële rechtsvorderingen op gerichte wijze kunnen worden afgeweerd.

Wij kunnen uw onderneming in dit alles bijstaan, en zijn beschikbaar voor verdere begeleiding. De boodschap is ook duidelijk: een gewaarschuwd werkgever, is er twee waard!

Tom Lemense

Stappers Advocaten

Op de hoogte blijven van alle recente artikels van deze auteur? Volg de auteurspagina op Jubel!