Privacy
Privacy, toch écht een belangrijk thema voor de OR!
Vanaf mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Veel bedrijven hebben op basis hiervan een privacybeleid opgesteld.
Sinds in maart 2020 corona zijn intrede heeft gedaan hier in Nederland is er veel te doen geweest over corona en privacy van medewerkers. Denk aan het temperaturen van medewerkers voor aanvang van het werk, de rol van de bedrijfsarts bij het testen, het registreren van medewerkers die vanwege corona preventief in quarantaine zitten en het in de gaten houden van thuiswerkende collega’s. Dit zijn allemaal situaties die vragen om een goed privacybeleid dat het enerzijds mogelijk maakt om informatie die nodig is voor de alledaagse bedrijfsvoering te verwerken en anderzijds de juiste bescherming biedt voor medewerkers. Het vinden van de juiste balans is niet altijd eenvoudig.
Hier ligt een belangrijke taak voor de OR.
Privacy voorbeelden uit de praktijk
Temperatuur meten van medewerkers mag niet zomaar
Er zijn werkgevers die de lichaamstemperatuur van hun werknemers opmeten voordat zij naar binnen mogen, of de temperatuur van hun bezoekers, zoals vrachtwagenchauffeurs die lading komen lossen. De Autoriteit Persoonsgegevens (AP) hoort dat dit regelmatig gebeurt. Deze organisaties zijn echter in overtreding als zij hierbij gegevens registreren of geautomatiseerd verwerken. Zij riskeren daarmee een hoge boete.
Boete voor bedrijf voor verwerken vingerafdrukken werknemers
Een bedrijf liet werknemers hun vingerafdrukken scannen voor aanwezigheids- en tijdsregistratie. De Autoriteit Persoonsgegevens (AP) heeft na onderzoek geconcludeerd dat het bedrijf geen vingerafdrukken van medewerkers had mogen verwerken. Het bedrijf kan zich namelijk niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens en krijgt hiervoor een boete van 725.000 euro.
Boete H&M in Duitsland
De Duitse toezichthouder heeft H&M een boete van 35 miljoen euro opgelegd vanwege stelselmatige overtredingen van de Algemene Verordening Gegevensbescherming. H&M registreerde bijzondere persoonsgegevens van honderden werknemers die tijdelijk afwezig waren geweest, zoals informatie over ziekte, vrijetijdsbesteding en familieomstandigheden.
Een stukje theorie
Een uitdrukkelijk omschreven doel
Even heel kort de basis van de Algemene Verordening Gegevensbescherming (AVG). Belangrijk is om duidelijk te formuleren met welk doel persoonsgegevens van medewerkers worden verwerkt door de werkgever.
Persoonsgegevens zijn gegevens die direct herleidbaar zijn tot het individu. Geanonimiseerde gegevens zoals een verzuimpercentage vallen hier niet onder, gegevens die zijn gepseudonimiseerd, zoals het gebruik van personeelsnummers, wel. Op basis van de AVG mogen alleen persoonsgegevens worden verwerkt met een duidelijk omschreven doel en dit doel moet ook gerechtvaardigd zijn. Voor rechtvaardiging gelden de zes onderstaande grondslagen van de AVG.
De zes AVG-grondslagen
Het verwerken van persoonsgegevens mag dus alleen als het doel ook gerechtvaardigd is. De gegevensverwerking moet gebaseerd zijn op één van de zes AVG-grondslagen. Deze grondslagen zijn:
- Toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.
Privacy en de rol van de OR
Als OR is het dus van belang om alle persoonsgegevens die worden vastgelegd van medewerkers langs de meetlat van een uitdrukkelijk omschreven en gerechtvaardigd doel te houden. Bij de veelgebruikte rechtsgrondslag “gerechtvaardigd belang” zal de OR vervolgens de afweging moeten maken of het gerechtvaardigd belang van de werkgever om de gegevens te verwerken wel afweegt tegen het belang van de werknemer om zijn gegevens beschermd te zien.
Alles wat te maken heeft met het vastleggen van persoonsgegevens van medewerkers of wat gebruikt wordt of te gebruiken is als een personeelsvolgsysteem valt onder het instemmingsrecht van de OR.
Diverse vormen van beleid kunnen in zich hebben dat er persoonsgegevens van medewerkers worden verwerkt. Denk hierbij o.a. aan:
- Tijdsregistratie
- Beoordelingsbeleid
- Ziekteverzuimbeleid
- Ongevallenregistratie en incidenten melding
- Sanctiebeleid
- Thuiswerkbeleid
- Camerabeleid
- Vaccinatiebeleid
- Beleid duurzame inzetbaarheid
Ook kan het zijn dat ten gevolge van arbeidsvoorwaarden persoonsgegevens van medewerkers wordt verwerkt. Denk hierbij o.a. aan:
- Loon
- Laptop en mobiele telefoon van de zaak
- Lease auto’s
- Vergoeding vakbondscontributie
- Pensioenvoorziening
Bij het beoordelen van een instemmingsverzoek waarbij de verwerking van persoonsgegevens een rol speelt, is basiskennis van de Algemene Verordening Gegevensbescherming reuze handig. Met de AVG in de hand kan de OR de voorgenomen verwerking van persoonsgegevens aan de eisen van de wet toetsen en, waar nodig, de bestuurder de plannen laten aanpassen.
Dan is er nog de informatieplicht richting medewerkers. Een basisuitgangspunt van de AVG is dat mensen controle moeten kunnen uitoefenen op hun gegevens. Medewerkers hebben de volgende rechten met betrekking tot de registratie van persoonsgegevens door de werkgever:
- Recht om in te zien
- Recht om te wijzigen
- Recht om vergeten te worden
- Recht om gegevens over te dragen
- Recht op informatie.
OR, wees dus alert en maak gebruik van je instemmingsrecht!
Ondersteuning nodig m.b.t. AVG en privacy(beleid)? We helpen je graag verder!
Training privacywetgeving (AVG) in de praktijk
Geschreven door Carolina Verspuij en Mariëlle van der Coelen, trainers/adviseurs SBI Formaat
