Zoë Baats, Adviseur Juridisch Kenniscentrum van SD Worx: “De ‘deadline’ van 25 mei is uiteraard reëel. Het is belangrijk om minstens de voorbereiding op te starten en na 25 mei nog verder te werken. Het is geen eindpunt. Er is absoluut een verhoogde belangstelling; van paniek bij personeelsverantwoordelijken zou ik niet spreken. Meer dan vijfhonderd organisaties namen al deel aan infosessies die we zelf organiseren of bijvoorbeeld samen met Voka. Ze maken zelf een overzicht van alle datagegevens of ze vragen ons een doorlichting. We helpen hen bijvoorbeeld met een privacy policy op te stellen of met het opdelen in categorieën van persoonsgegevens, zoals werknemersvoordelen, prestatiegegevens en rekruteringsinformatie. Het is zeker nog niet te laat. Ook na 25 mei geven we ondersteuning.”
Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt weliswaar geen expliciete bewaartermijnen op, maar laat evenmin toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. Zo bepaalt bijvoorbeeld de wet voor een resem van sociale en fiscale documenten minimum bewaartermijnen. Voor die documenten waarvoor geen wettelijke termijn geldt, zal de werkgever zelf moeten oordelen hoelang hij een document bewaart. De werkgever zal de bewaartermijn dan t.a.v. de Gegevensbeschermingsautoriteit moeten kunnen verantwoorden
Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacy-clausules moeten opnemen. Dat klopt niet, al bent u als werkgever wel verplicht om uw werknemers te informeren over wat er met hun gegevens gebeurt. Een privacy-beleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.
Hebt u voortaan toestemming nodig om foto van uw werknemer in het interne bedrijfstelefoonboekje te plaatsen? Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.
Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet per se vereist: u kan zich baseren op de contractuele relatie tussen werkgever en werknemer. Het contract dat u met uw medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft u het recht om de gegevens te verwerken die u nodig hebt om aan uw contractuele verplichting te kunnen voldoen.
Slechts drie soorten bedrijven zijn verplicht een DPO aan te stellen:
Natuurlijk kan elk bedrijf vrijwillig een DPO aanstellen. Een DPO is altijd beschermd tegen ontslag, zolang de functie correct wordt uitgevoerd.
De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder: