Strengere privacy-regels hebben heel wat gevolgen

Wat moet je als werknemer weten?

De Algemene Verordening Gegevensbescherming (GDPR) is sinds 25 mei 2018 van kracht. Deze Verordening heeft in de hele EU de regels op het vlak van privacybescherming verstrengd. Heel wat werknemers worden geconfronteerd met beleidslijnen, reglementen en overeenkomsten waarin specifieke afspraken staan over de verwerking van hun persoonsgegevens. De vraag is hoe hiermee moet worden omgegaan.

De werkgever moet aan de werknemer alleszins informatie geven over de verwerking van zijn persoonsgegevens, onder meer over de wettelijke grondslag van de verwerking, het doel ervan, de bewaartermijnen, de ontvangers van de gegevens. Een privacy-beleid is in die zin een vertaling van deze informatieverplichting.

Wettelijke grondslag verwerking

De werkgever moet ook altijd een rechtsgrond hebben op basis waarvan hij persoonsgegevens van zijn werknemers kan verwerken. Heel wat gegevens zal een werkgever al kunnen verwerken zonder de individuele toestemming van de werknemer, met name wanneer de verwerking noodzakelijk is voor de uitvoering van de arbeidsovereenkomst (bijvoorbeeld personeelsadministratie) of om te voldoen aan een wettelijke verplichting (bijvoorbeeld familiale gegevens die nodig zijn om de bedrijfsvoorheffing te berekenen). Andere gegevens zal de werkgever alleen kunnen verwerken met de individuele toestemming van de werknemer (bijvoorbeeld voor foto’s). Belangrijk is dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn en dat ze te allen tijde door de werknemer kan worden ingetrokken.
Voor de verwerking van sommige gevoelige gegevens (bijvoorbeeld over de gezondheid of over het lidmaatschap van de vakbond) gelden strengere regels. Die kunnen niet zomaar worden verwerkt.

Passende beveiliging

De werkgever moet passende beveiligingsmaatregelen nemen zodat de verwerkte gegevens afdoende worden beschermd. Behalve technische maatregelen kan het gaan om organisatorische maatregelen ten aanzien van de werknemers die omgaan met deze gegevens, bijvoorbeeld in de vorm van vertrouwelijkheidsclausules. Voor de aansprakelijkheid bij gegevenslekken moet worden rekening gehouden met de beperkte aansprakelijkheid van de werknemer tijdens de uitvoering van de arbeidsovereenkomst (alleen bij opzet, zware fout of gewoonlijk voorkomende lichte fout).

Controle door werkgever

In het kader van de arbeidsrelatie zal de werkgever toezicht uitoefenen op zijn werknemers. Daarbij kan het recht op privacy van deze werknemers in het gedrang komen. De controlemaatregelen moeten beantwoorden aan de GDPR, maar ook aan de specifieke NAR-cao’s over camerabewaking op de werkvloer, controle op internet- en emailgebruik en uitgangscontrole.

Wat kan de werknemer doen?

Als de privacy-rechten van de werknemer zijn geschonden, kan die hierop reageren. Hij kan bijvoorbeeld zijn GDPR-rechten uitoefenen: het recht op toegang (ook het recht op een gratis kopie), het recht op verbetering, het ‘recht om te worden vergeten’, het recht van bezwaar. Verder kan de werknemer een klacht of verzoek indienen bij de Gegevensbeschermingsautoriteit. Die kan bemiddelen, een onderzoek doen, de werkgever een waarschuwing geven of zelfs een administratieve geldboete opleggen. |

Kijk ook op:

htpp://www.gegevensbeschermingsautoriteit.be

Auteur: Bram Van Goethem Foto: Daniël Rys