De vijf meest gestelde vragen over personeelsgegevens en GDPR

Het werk is niet klaar op 25 mei, stelt SD Worx

Maandag 14 mei 2018 — Antwerpen – Binnen tien dagen gaat de General Data Protection Regulation – beter bekend als GDPR – van kracht. Grote én kleine bedrijven moeten dan voldoen aan deze verstrengde Europese privacyregels. Wat zijn de meest voorkomende vragen die HR-dienstenverlener SD Worx binnenkrijgt over GDPR?  

Verhoogde belangstelling tien dagen vóór ingangsdatum

Zoë Baats, Adviseur Juridisch Kenniscentrum van SD Worx: “De ‘deadline’ van 25 mei is uiteraard reëel. Het is belangrijk om minstens de voorbereiding op te starten en na 25 mei nog verder te werken. Het is geen eindpunt. Er is absoluut een verhoogde belangstelling; van paniek bij personeelsverantwoordelijken zou ik niet spreken. Meer dan vijfhonderd organisaties namen al deel aan infosessies die we zelf organiseren of bijvoorbeeld samen met Voka. Ze maken zelf een overzicht van alle datagegevens of ze vragen ons een doorlichting. We helpen hen bijvoorbeeld met een privacy policy op te stellen of met het opdelen in categorieën van persoonsgegevens, zoals werknemersvoordelen, prestatiegegevens en rekruteringsinformatie. Ook al komt de deadline dichter, het is zeker nog niet te laat. Ook na 25 mei geven we bedrijven alle verdere ondersteuning die ze nodig hebben.”

1.Wat zijn de bewaartermijnen voor personeelsgegevens?

Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt weliswaar geen expliciete bewaartermijnen op, maar laat evenmin toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. De wet bepaalt al voor een resem van sociale en fiscale documenten minimum bewaartermijnen. Voor die documenten waarvoor geen wettelijke termijn geldt, zal de werkgever zelf moeten oordelen hoelang hij een document bewaart. De werkgever zal de bewaartermijn dan t.a.v. de Gegevensbeschermingsautoriteit moeten kunnen verantwoorden.

2.Wat is de impact op het arbeidsreglement of de individuele arbeidsovereenkomst?

Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacy-clausules moeten opnemen. Dat klopt niet, al bent u als werkgever wel verplicht om uw werknemers te informeren over wat er met hun gegevens gebeurt. Een privacy-beleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.

3.Is de toestemming van de werknemer voor alle gegevens nodig?

Hebt u voortaan toestemming nodig om een foto van uw werknemer in het interne bedrijfstelefoonboekje te plaatsen? Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.

Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet per se vereist: u kan zich baseren op de contractuele relatie tussen werkgever en werknemer. Het contract dat u met uw medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft u het recht om de gegevens te verwerken die u nodig hebt om aan uw contractuele verplichting te kunnen voldoen.

4.Zijn we verplicht een Data Protection Officer (DPO) aan te stellen en is die DPO beschermd tegen ontslag?

Slechts drie soorten bedrijven zijn verplicht een DPO aan te stellen:

  • overheidsbedrijven;
  • organisaties die bijzondere data, zoals strafrechtelijke gegevens, verwerken;
  • bedrijven die dagelijks een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens verwerken, zoals ziekenhuizen, verzekeraars of banken.

Natuurlijk kan elk bedrijf vrijwillig een DPO aanstellen. Een DPO is altijd beschermd tegen ontslag, zolang de functie correct wordt uitgevoerd.

5.Moet een kmo een dataregister opstellen?

De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:

  • data die een risico vormen voor iemands rechten en vrijheden;
  • gevoelige informatie: raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid;
  • gerechtelijke informatie: gegevens over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen;
  • data met betrekking op derden, zoals klanten of leveranciers, en werknemers.
Eva De Schryver Verantwoordelijke persrelaties SD Worx
Over SD Worx

Als toonaangevende Europese speler in payroll en HR, biedt SD Worx wereldwijd diensten op het gebied van payroll, HR, juridische ondersteuning, training, automatisering, consultancy en outsourcing. Het stelt hierbij de klant centraal, kiest volop voor digitalisering en zet in op internationale groei. Vandaag vertrouwen meer dan 65.000 grote en kleine organisaties wereldwijd op de meer dan 70 jaar ervaring van SD Worx.

De 4.150 medewerkers van SD Worx zijn actief in tien landen: België (HQ), Duitsland, Frankrijk, Ierland, Luxemburg, Mauritius, Nederland, Oostenrijk, het Verenigd Koninkrijk en Zwitserland. SD Worx berekent de lonen van zo’n 4,4 miljoen werknemers en boekte in 2017 een omzet van €443 miljoen. SD Worx is medeoprichter van de Payroll Services Alliance, een wereldwijd strategisch netwerk van toonaangevende payrollbedrijven die samen instaan voor 32 miljoen loonberekeningen.

 

Meer info op: www.sdworx.com