Verwerken persoonsgegevens van werknemers
Als werkgever verwerk je dagelijks een breed scala aan persoonsgegevens van je werknemers. Dit gaat verder dan alleen de loonadministratie. Denk aan foto’s in een smoelenboek, foto’s en filmpjes op de website, bewakingsbeelden, ziekteverzuimregistraties of zelfs trackinggegevens van bedrijfsauto’s. Vaak wordt de omvang van deze gegevensverwerking onderschat, terwijl het essentieel is om hier zorgvuldig mee om te gaan. Onze privacyrecht advocaten hepen je graag bij het opstellen van een helder beleid en praktische oplossingen.
Wat is gegevensverwerking volgens de AVG?
Volgens de Algemene verordening gegevensbescherming (AVG) vallen onder meer de volgende handelingen van persoonsgegevens onder het verwerken van persoonsgegevens: verzamelen, opslaan, wijzigen, delen of vernietigen. Persoonsgegevens zijn gegevens die herleidbaar zijn tot een persoon. Het gaat dus om informatie die direct over iemand gaat of naar iemand te herleiden is.
Voorbeelden van verwerkingen van persoonsgegevens van jouw werknemers zijn:
- NAW-gegevens, bankrekeningnummers en salarisinformatie verzamelen voor de loonadministratie.
- Het verzamelen van cv’s en sollicitatiebrieven.
- Informatie in het personeelsdossier, zoals contracten, beoordelingen en ziekteverzuimgegevens.
- Foto’s en contactgegevens opslaan in een smoelenboek, of plaatsen op visitekaartjes of de website.
- Bewakingsbeelden op en rondom de werkplek maken en bewaren.
- Locatiegegevens van bedrijfsauto’s of apparatuur bijhouden.
- Internet- en e-mailverkeer bijhouden of analyseren.
- Een personeelsdossier verwijderen.
Wat is een wettige reden om persoonsgegevens VAN WERKNEMERS te verwerken?
Volgens de AVG mag je gegevens verwerken als je voldoet aan een van de zes in de AVG genoemde grondslagen. De volgende grondslagen komen vaak voor in de werkgevers- en werknemersrelatie:
- Overeenkomst: De verwerking is nodig voor het uitvoeren van een arbeidsovereenkomst, bijvoorbeeld salarisbetaling.
- Wettelijke verplichting: Denk aan het opslaan van identiteitsbewijzen voor belastingdoeleinden.
- Gerechtvaardigd belang: Bijvoorbeeld cameratoezicht om diefstal te voorkomen, mits dit proportioneel is.
Soms wordt de grondslag toestemming gebruikt. Dit een lastige grondslag waar het de relatie tussen een werkgever en werknemer betreft. Toestemming moet namelijk altijd vrijwillig, specifiek en geïnformeerd gegeven zijn. Zorg er niet alleen voor dat je werknemers weten waarom hun gegevens worden verwerkt en hoe lang deze worden bewaard, maar ook dat de toestemming vrij gegeven kan worden. Hier gaat het nogal eens mis.
Waar moet JE als werkgever rekening mee houden?
Voor organisaties die persoonsgegevens verwerken gelden volgens de AVG strikte regels:
- Personeelsdossier:
Leg alleen gegevens vast die strikt noodzakelijk zijn voor de arbeidsrelatie. Beoordelingsgesprekken en salarisinformatie mogen bijvoorbeeld worden opgeslagen, maar gegevens die niet langer relevant zijn, moeten worden verwijderd. - Informatieplicht:
Informeer werknemers duidelijk over hoe hun gegevens worden verwerkt via een privacyverklaring. - Beveiliging:
Zorg voor passende maatregelen om persoonsgegevens te beschermen, zoals versleuteling of toegangsbeheer. - Juistheid en nauwkeurigheid:
Controleer regelmatig of de gegevens up-to-date zijn en verwijder verouderde informatie.
Verwerkingsovereenkomst
Ook een duidelijke verwerkingsovereenkomst met externe verwerkers, zoals een salarisadministratiebureau, is verplicht om de privacy van jouw werknemers te waarborgen.
WAAROM ONZE PRIVACYRECHT ADVOCATEN INSCHAKELEN?
Uiteraard helpen wij je graag om ervoor te zorgen dat je voor wat betreft de verwerking van persoonsgegevens van jouw werknemers voldoet aan de privacyregels uit de AVG. Heb je ondersteuning nodig, neem dan gerust contact op met een van onze privacyrecht advocaten.
Misschien ook interessant voor jou?
Veelgestelde vragen
Wat valt onder verwerking van persoonsgegevens?
Onder "verwerken" valt vrijwel alles wat je met persoonsgegevens doet. Denk aan: verzamelen, vastleggen, opslaan, wijzigen, opvragen, gebruiken, verstrekken, combineren en ook vernietigen. Dus ook het ontvangen van een cv, het bijhouden van een personeelsdossier of het delen van informatie met de salarisadministratie valt al onder verwerking.
Welke 3 soorten persoonsgegevens zijn er?
Binnen de AVG onderscheiden we grofweg drie categorieën:
- Gewone persoonsgegevens: zoals naam, adres, geboortedatum, e-mailadres.
- Bijzondere persoonsgegevens: zoals gezondheidsgegevens, religie, etniciteit, politieke voorkeur. Deze mogen alleen in uitzonderlijke gevallen worden verwerkt.
- Strafrechtelijke gegevens: gegevens over strafbare feiten of veroordelingen. Ook hiervoor gelden zeer strikte regels.
Wat zijn de 6 beginselen voor het verwerken van persoonsgegevens?
De AVG kent zes kernbeginselen:
- Rechtmatigheid, behoorlijkheid en transparantie
- Doelbinding: gegevens alleen gebruiken voor een specifiek, duidelijk doel
- Minimale gegevensverwerking: niet meer gegevens verzamelen dan nodig is
- Juistheid: gegevens moeten actueel en correct zijn
- Opslagbeperking: gegevens niet langer bewaren dan noodzakelijk
- Integriteit en vertrouwelijkheid: goede beveiliging tegen misbruik of verlies
Hoe weet ik of ik persoonsgegevens verwerk?
Verwerk je informatie die direct of indirect tot een persoon te herleiden is? Dan verwerk je persoonsgegevens. Denk aan personeelsgegevens, sollicitaties, contactgegevens, ziekteverzuimregistraties of camerabeelden. In bijna elke organisatie worden persoonsgegevens verwerkt.
Wat is onrechtmatige verwerking van persoonsgegevens?
Als je persoonsgegevens verwerkt zonder geldige grondslag, of in strijd handelt met de AVG-beginselen (bijvoorbeeld zonder doelbinding of zonder beveiligingsmaatregelen), dan is sprake van onrechtmatige verwerking. Dat kan leiden tot boetes, aansprakelijkheid en reputatieschade.
Wat moet je doen als je twijfelt of je persoonsgegevens mag verwerken?
Bij twijfel:
- Beoordeel of je een geldige grondslag en gerechtvaardigd doel hebt;
- Weeg af of de verwerking noodzakelijk is voor het doel;
- Check of je de betrokkene voldoende informeert.
Twijfel je? Dan is het veiliger om (nog) niet te verwerken en eerst juridisch advies in te winnen.
Hoe lang mag je persoonsgegevens bewaren?
Je mag persoonsgegevens niet langer bewaren dan nodig is voor het doel waarvoor ze zijn verzameld. Geldt er geen specifieke wettelijke termijn dan moet je als organisatie zelf de termijn bepalen. Goed om te weten is dat de AP ten aanzien van sommige persoonsgegevens richtlijnen heeft afgegeven.
Neem contact met ons op
Heb je vragen of wil je een afspraak maken? Neem dan vrijblijvend contact met ons op!
- Haagweg 1492321 AA, Leiden