Voorbereiden op GDPR: de vijf meest gestelde vragen

15 mei 2018 - Door Geert Vermeir - Leestijd: 3 minuten
Schriftelijke afspraken GDPR

De General Data Protection Regulation – beter bekend als GDPR – gaat in op 25 mei. Grote én kleine bedrijven moeten dan voldoen aan deze verstrengde Europese privacyregels. Maar die regels roepen nog steeds heel wat vragen op. Wij zetten de vijf belangrijkste op een rij.

GDPR meestgestelde vragen antwoorden

1. Wat zijn de bewaartermijnen voor personeelsgegevens?

Met stip op één: hoelang mag ik als werkgever de persoonsgegevens en personeelsdocumenten van mijn medewerkers bewaren? De GDPR legt geen expliciete bewaartermijnen op, maar laat niet toe om persoonsgegevens langer te bewaren dan strikt noodzakelijk. Bij een controle door de Gegevensbeschermingsautoriteit moet u als werkgever ook kunnen aantonen waarom en hoelang u een document bewaarde. Deze regel kent enkele uitzonderingen: sociale documenten mogen maximaal 5 jaar worden bijgehouden en fiscale documenten maximaal 7 jaar.

2. Wat is de impact op het arbeidsreglement of de individuele arbeidsovereenkomst?

Veel werkgevers denken dat ze in individuele arbeidsovereenkomsten en arbeidsreglementen privacyclausules moeten opnemen. Dat klopt niet, maar als werkgever bent u wel verplicht om uw werknemers te informeren over wat er met hun gegevens gebeurt. Een privacybeleid is hiervoor ideaal: in het geval van een beleidswijziging is dit document ook gemakkelijk aan te passen.

3. Is de toestemming van de werknemer voor alle gegevens nodig?

Door de GDPR is het niet meer zo eenvoudig om rechtsgeldige toestemming te krijgen. De toestemming moet geïnformeerd en ondubbelzinnig zijn, actief gegeven worden en wie ze geeft, kan ze op elk moment ook opnieuw intrekken.

Voor personeelsadministratie en -beheer is deze expliciete vorm van toestemming niet vereist: daar vormt de contractuele relatie tussen werkgever en werknemer het uitgangspunt. Het contract dat u met uw medewerker hebt afgesloten, doet dienst als expliciete toestemming en geeft u het recht om de gegevens te verwerken die u nodig hebt om te kunnen voldoen aan uw contractuele verplichting.

4. Zijn we verplicht een Data Protection Officer (DPO) aan te stellen en is die DPO beschermd tegen ontslag?

Slechts drie soorten bedrijven moeten een DPO aanstellen:

  • overheidsbedrijven;
  • organisaties die bijzondere data zoals strafrechtelijke gegevens, verwerken;
  • bedrijven die dagelijks een grote hoeveelheid – al dan niet gevoelige – persoonsgegevens verwerken, zoals ziekenhuizen, verzekeraars of banken.

Een DPO is altijd beschermd tegen ontslag, zolang hij zijn functie correct uitvoert.

5. Moet een kmo een dataregister opstellen?

De Privacycommissie raadt alle bedrijven aan om een dataregister bij te houden. Organisaties met minder dan 250 werknemers zijn alleen verplicht om een dataregister met het normale personeelsbeheer en de niet-incidentele gegevensverwerkingen met gevoelige info op te nemen. Daar vallen onder:

  • data die een risico vormen voor iemands rechten en vrijheden;
  • gevoelige informatie: raciale of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens of
  • gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid;
  • gerechtelijke informatie: gegevens over strafrechtelijke veroordelingen en strafbare feiten of gerelateerde veiligheidsmaatregelen;
  • data met betrekking op derden, zoals klanten of leveranciers.
GDPR

Schrijf u in op onze nieuwsbrief

Op zoek naar meer informatie?

Contacteer SD Worx

Volg de SD Worx Community