De Algemene Verordening Gegevensbescherming, in juridische vakterminologie ook wel de “verordening-waar-we-allemaal-enigszins-van-doordraaien” genoemd, ziet op de bescherming van persoonsgegevens. Even ter opfrissing: persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een naam is uiteraard een persoonsgegeven. Iets minder voor de hand liggende gegevens, zoals locatiegegevens, zijn ook persoonsgegevens.
Wanneer er gegevens worden verwerkt, dient de persoon van wie deze gegevens zijn, hiervan op de hoogte te worden gesteld. Je verwerkt ‘al’ gegevens, wanneer je op jouw website een contactformulier aanbiedt. Een geïnteresseerde websitebezoeker zal namelijk bij het invullen van dit contactformulier (enkele) gegevens moeten achterlaten, waardoor jij verwerker van deze gegevens wordt. Verwerk je gegevens? Dan dien je de betrokkene hierover te informeren. Het is vanwege deze informatieplicht, dat zo veel privacyverklaringen als paddenstoelen uit de grond zijn geschoten. Een privacyverklaring is namelijk een manier om iemand te informeren over de verwerking van zijn of haar gegevens.
De privacyverklaring die op de website staat
Veel organisaties denken dat ze er wel ‘zijn’ wanneer een privacyverklaring op de website wordt geplaatst, met daarin informatie over de verwerking van gegevens van websitebezoekers en klanten. Ze vergeten daarbij, dat er ook gegevens worden verwerkt van mensen die in dienst treden bij de desbetreffende organisatie, en van al bestaande werknemers. Het is natuurlijk niet meer dan logisch dat een werkgever gegevens nodig heeft van zijn medewerkers of sollicitanten. Anders zou het bijvoorbeeld wel heel lastig worden om de salarissen te kunnen uitkeren of een sollicitant te kunnen uitnodigen voor een gesprek. Op welk moment dient een organisatie sollicitanten en werknemers te informeren over de verwerking van hun gegevens?
In overweging 61 van de AVG lezen we het volgende:
De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen bij de betrokkene van de gegevens of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval(…).
Op het moment dat er aan de werknemer of sollicitant om zijn of haar gegevens wordt gevraagd, dien je dus in principe al informatie te geven over deze gegevensverwerking. Dit doe je niet in juridische taal, maar in duidelijke en eenvoudige taal, zodat een werknemer of sollicitant geen advocaat in de hand hoeft te nemen om te begrijpen wat erin staat. Met een interne privacyverklaring kan je aan deze informatieplicht voldoen. Je zou deze privacyverklaring t.o.v. sollicitanten kunnen toevoegen bij de vacature (op de website). Voor werknemers lijkt het logisch om zo’n interne privacyverklaring op te nemen in het personeelshandboek, of als addendum in de arbeidsovereenkomst. Nog een tip: in de meeste gevallen is het niet verstandig om de sollicitant of werknemer een privacyverklaring te laten ondertekenen.
“Maar dan heb ik toch toestemming gekregen van de betrokkene om de gegevens te verwerken, en dat is een rechtvaardigingsgrond onder de AVG, niet?”
De toestemming van een betrokkene is inderdaad een grond om gegevens te mogen verwerken, maar de AVG eist dat de toestemming vrijelijk gegeven is door de betrokkene. In de relatie werknemer-werkgever is er zelden sprake van een toestemming die in alle vrijheid is gegeven, omdat de werknemer zich in een (financiële) afhankelijkheidspositie bevindt t.o.v. de werkgever.
Wat moet er in een interne privacyverklaring voor werknemers staan?
In een interne privacyverklaring benoem je onder meer de volgende zaken:
✓ Wie de persoonsgegevens verzamelt (de contactgegevens van de organisatie en eventueel van de FG)
✓ Welke persoonsgegevens er worden verzameld (NAW-gegevens, maar bijvoorbeeld ook een bankrekeningnummer voor de salarisadministratie)
✓ Waarom de gegevens van de werknemer worden verzameld (bijvoorbeeld ten behoeve van het personeelsdossier, de salarisadministratie, etc.)
✓ Wat de grondslag is voor de gegevensverwerking (bijvoorbeeld om de arbeidsovereenkomst uit te kunnen voeren)
✓ De bewaartermijnen van de verwerkte gegevens (gegevens uit de salarisadministratie moeten tot 7 jaar na einde van het dienstverband worden bewaard, loonbelastingverklaringen en een kopie van het identiteitsbewijs moet door de werkgever 5 jaar na het einde van het dienstverband worden bewaard. Andere gegevens uit het personeelsdossier mogen maximaal 2 jaar na het einde van het dienstverband worden bewaard).
✓ Of er gegevens aan derden worden doorgegeven (denk aan het salarisadministratiekantoor, waarmee dikwijls ook een verwerkersovereenkomst moet worden gesloten).
✓ Of er gegevens naar landen buiten de EER worden doorgegeven
✓ De genomen technische en organisatorische beveiligingsmaatregelen (bijvoorbeeld meerfactorauthenticatie)
✓ De rechten van de werknemers (recht op inzage, rectificatie en verwijdering)
