1. Home>
  2. Nieuws & inspiratie>
  3. Personeelsadministratie>
privacy

Voorbereiden op GDPR: de vijf meest gestelde vragen

De General Data Protection Regulation – beter bekend als GDPR – gaat in op 25 mei. Grote én kleine bedrijven moeten dan voldoen aan deze verstrengde Europese privacyregels. Maar die regels roepen nog steeds heel wat vragen op. Wij zetten de vijf belangrijkste op een rij.

1. Wat zijn de bewaartermijnen voor personeelsgegevens?

Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt geen expliciete bewaartermijnen op, maar laat niet toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. Bij een controle door de Gegevensbeschermingsautoriteit moet je als werkgever ook kunnen aantonen waarom en hoelang je een document bewaarde. Deze regel kent enkele uitzonderingen: sociale documenten mogen maximaal 5 jaar worden bijgehouden en fiscale documenten maximaal 7 jaar.

2. Wat is de impact op het arbeidsreglement of de individuele arbeidsovereenkomst?

Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacyclausules moeten opnemen. Dat klopt niet, maar als werkgever ben je wel verplicht om je werknemers te informeren over wat er met hun gegevens gebeurt. Een privacybeleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.

3. Is de toestemming van de werknemer voor alle gegevens nodig?

Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.

Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet vereist: daar vormt de contractuele relatie tussen werkgever en werknemer het uitgangspunt. Het contract dat je met je medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft je het recht om de gegevens te verwerken die je nodig hebt om te kunnen voldoen aan je contractuele verplichting.

4. Zijn we verplicht een Data Protection Officer (DPO) aan te stellen en is die DPO beschermd tegen ontslag?

Slechts drie soorten bedrijven moeten een DPO aanstellen:

  • overheidsbedrijven;
  • organisaties die bijzondere data zoals strafrechtelijke gegevens, verwerken;
  • bedrijven die dagelijks een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens verwerken, zoals ziekenhuizen, verzekeraars of banken.

Een DPO is altijd beschermd tegen ontslag, zolang hij zijn functie correct uitvoert.

5. Moet een kmo een dataregister opstellen?

De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:

  • data die een risico vormen voor iemands rechten en vrijheden;
  • gevoelige informatie: raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens of gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid;    
  • gerechtelijke informatie: gegevens over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen;
  • data met betrekking op derden, zoals klanten of leveranciers.

    25 mei nadert met rasse schreden. Bent u voorbereid?

    Maak uw bedrijf GDPR-proof

      Stoom je bedrijf klaar voor GDPR
      Gert Vermeir

      Geert Vermeir

      Juridisch Expert

      Geert Vermeir werkt voor het juridisch kenniscentrum van SD Worx. Met zijn rechtendiploma op zak (KULeuven), begon hij te werken als Legal Advisor en later als Knowledge Manager bij Securex. Na een decennium bij Securex trad hij in april 2008 in dienst bij SD Worx als Senior Legal Advisor. Sinds juli 2014 werkt hij voor het juridisch kenniscentrum. Als expert op vlak van arbeidsrecht en sociale zekerheid deelt hij zijn kennis onder andere als trainer in sociaaljuridische opleidingen.