25 mei nadert met rasse schreden. Bent u voorbereid?
Maak uw bedrijf GDPR-proof
De General Data Protection Regulation – beter bekend als GDPR – gaat in op 25 mei. Grote én kleine bedrijven moeten dan voldoen aan deze verstrengde Europese privacyregels. Maar die regels roepen nog steeds heel wat vragen op. Wij zetten de vijf belangrijkste op een rij.
Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt geen expliciete bewaartermijnen op, maar laat niet toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. Bij een controle door de Gegevensbeschermingsautoriteit moet je als werkgever ook kunnen aantonen waarom en hoelang je een document bewaarde. Deze regel kent enkele uitzonderingen: sociale documenten mogen maximaal 5 jaar worden bijgehouden en fiscale documenten maximaal 7 jaar.
Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacyclausules moeten opnemen. Dat klopt niet, maar als werkgever ben je wel verplicht om je werknemers te informeren over wat er met hun gegevens gebeurt. Een privacybeleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.
Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.
Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet vereist: daar vormt de contractuele relatie tussen werkgever en werknemer het uitgangspunt. Het contract dat je met je medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft je het recht om de gegevens te verwerken die je nodig hebt om te kunnen voldoen aan je contractuele verplichting.
Slechts drie soorten bedrijven moeten een DPO aanstellen:
Een DPO is altijd beschermd tegen ontslag, zolang hij zijn functie correct uitvoert.
De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:
25 mei nadert met rasse schreden. Bent u voorbereid?
Maak uw bedrijf GDPR-proof
Geert Vermeir
Juridisch Expert
Geert Vermeir werkt voor het juridisch kenniscentrum van SD Worx. Met zijn rechtendiploma op zak (KULeuven), begon hij te werken als Legal Advisor en later als Knowledge Manager bij Securex. Na een decennium bij Securex trad hij in april 2008 in dienst bij SD Worx als Senior Legal Advisor. Sinds juli 2014 werkt hij voor het juridisch kenniscentrum. Als expert op vlak van arbeidsrecht en sociale zekerheid deelt hij zijn kennis onder andere als trainer in sociaaljuridische opleidingen.