Op 25 mei 2018 gelden de nieuwe privacy regels vanuit Europa, de Algemene Verordening Gegevensbescherming (AVG). Vanaf die datum moeten alle organisaties ‘AVG-proof’ zijn. Organisaties moeten dan kunnen aantonen dat zij de privacyregels naleven en zij moeten daarover ook verantwoording kunnen afleggen (‘accountability’).
De nieuwe privacyregels hebben ook een groot effect op de arbeidsorganisatie. Werkgevers verwerken immers behoorlijk wat privacygevoelige persoonsgegevens van hun eigen werknemers en – ook niet onbelangrijk – veel werknemers komen in hun eigen werk in aanraking met allerlei persoonsgegevens van derden (denk aan particuliere opdrachtgevers van de werkgever of particuliere klanten van opdrachtgevers). Werkgevers zijn verplicht om hun werknemers goed (en blijvend) te instrueren over de wijze waarop ze met deze gegevens moeten omgaan.
In deze blog sta ik stil bij een van de verplichtingen vanuit de AVG, te weten de informatieplicht van de ‘verwerkingsverantwoordelijke’, degene die de persoonsgegevens verwerkt en daarvoor verantwoordelijk is en dit is in de arbeidsrelatie de werkgever. Dit vertaalt zich concreet in een privacyverklaring voor het personeel.
Informatieplicht verwerkingsverantwoordelijke: de privacyverklaring
Bij indiensttreding (en ook al daarvoor in de sollicitatiefase) moeten werknemers allerlei persoonlijke gegevens afgeven aan de werkgever. Werknemers dienen hun naam, adres, bankgegevens, geboortedatum, BSN en een kopie van hun ID-kaart af te geven. De werkgever gebruikt deze gegevens voor verschillende doeleinden en slaat de gegevens op (vaak nu in de cloud). Er is natuurlijk ook een goede reden om deze gegevens te vragen. Werkgevers hebben deze gegevens bijvoorbeeld nodig om te voldoen aan hun wettelijke plichten (denk aan de Wet op de Loonbelasting) of om uitvoering te kunnen geven aan de arbeidsovereenkomst (zoals het betalen van salaris).
Op grond van artikel 13 van de AVG is de ‘verwerkingsverantwoordelijke’ op het moment dat deze gegevens worden verkregen van de ‘betrokkene’ (degene wiens gegevens het betreft) verplicht op dat moment die betrokkene over een aantal zaken te informeren aangaande de verwerking van diens persoonsgegevens.
Dit betekent dus dat op werkgevers bij indiensttreding een informatieplicht bestaat. Werkgevers dienen dus (in ieder geval) op dat moment hun nieuwe werknemers te informeren over wat met hun persoonsgegevens gebeurt. Dit kan door middel van een privacyverklaring.
Privacyverklaring voor werknemers: wat staat er in?
De werknemers moeten worden geïnformeerd over wie (welke rechtspersoon) hun gegevens verzamelt, welke persoonsgegevens worden verzameld, waarvoor de gegevens worden verzameld en de betreffende grondslag voor verwerking. De bewaartermijnen die worden gehanteerd, welke gegevens aan derden worden doorgegeven (en vaak ook wie dat zijn en waarom dat wordt gedaan en als gegevens worden gegeven aan derden in andere landen, welk land dit is en of – kort gezegd – de veiligheid voldoende is gewaarborgd), op welke wijze de gegevens zijn beveiligd, de rechten die werknemers hebben aangaande hun persoonsgegevens en als er een ‘privacy officer’ is aangesteld, wie dat is en op welke wijze contact met hem of haar kan worden opgenomen.
De meeste informatie is nog wel relatief eenvoudig te geven voor wat betreft de eerder genoemde noodzakelijke ‘NAW-gegevens’. Niettemin verwerken veel werkgevers ook (mogelijk onbewust) veel andere persoonsgegevens van hun werknemers. Denk alleen al aan een e-mailadres (en de inhoud van mails), locatiegegevens die automatisch worden opgeslagen vanuit een telefoon en/of auto. Wellicht wil de werkgever ook de mogelijkheid hebben om de werknemers met gebruikmaking van deze gegevens te controleren. Daarnaast ‘geeft’ de werkgever ook veel persoonsgegevens door aan derden, denk aan ICT-diensten, een arbodienst of een externe loonadministrateur. Aan deze ‘doorgifte’ dient niet alleen een verwerkersovereenkomst ten grondslag te liggen maar hierover dienen de werknemers dus eveneens adequaat over te worden geïnformeerd.
Privacyverklaring voor werknemers: wat is de vorm?
De privacyverklaring moet duidelijk zijn en in eenvoudige taal zijn geschreven. Het is dus zeker niet de bedoeling dat juridische taal wordt gebruikt. De informatie moet in een beknopte, begrijpelijke en gemakkelijk toegankelijk vorm worden versterkt. Een schriftelijk document is niet noodzakelijk. Het is ook toegestaan om andere communicatiemiddelen te gebruiken, zoals animaties of een korte film. Visuele hulpmiddelen worden aangemoedigd.
Toestemming nodig?
Het is niet nodig dat de werknemers hun instemming geven op de privacyverklaring. De privacyverklaring is uitsluitend bedoeld om te voldoen aan de verplichting tot het geven van informatie. Dit betekent dan ook dat ten aanzien van het ‘zittende’ personeel kan worden volstaan met een bekendmaking van de nieuwe privacyverklaring (bijvoorbeeld op intranet).
Bovendien geldt als vuistregel dat toestemming geen geldige grondslag voor verwerking oplevert in een arbeidsrelatie. De werknemer staat namelijk in een afhankelijke relatie tot de werkgever zodat de werknemer zijn toestemming niet ‘echt’ vrij kan geven (en dat is wel vereist om toestemming een geldige grondslag voor verwerking te doen zijn). Voor verwerking van persoonsgegevens van werknemers zal dus vrijwel altijd een andere grondslag moeten bestaan zoals de eerder genoemde wettelijke plicht of dat het noodzakelijk is voor de uitvoering van de overeenkomst. Een andere grondslag in een arbeidsrelatie zou kunnen zijn dat de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de werkgever.
Conclusie
Om ‘AVG proof’ te zijn, dienen werkgevers vanzelfsprekend ook zorgvuldig om te gaan met de persoonsgegevens van de eigen werknemers en de verplichtingen vanuit de AVG ten aanzien van het personeel in acht te nemen, waaronder de verplichting om betrokkenen (werknemers) te informeren over wat er met hun persoonsgegevens gebeurt.
