Uit de die wij uitgevoerd hebben, blijkt dat de focus van ondernemers en bedrijven bij de AVG vooral ligt op de persoonsgegevens van hun klanten. Maar de AVG is ook verplicht voor je personeelsadministratie
De AVG geldt ook voor de gegevens die je van je medewerkers vastlegt!
In haar toelichting op de AVG schrijft de Autoriteit Persoonsgegevens (AP) die belast is met het toezicht, dat de AVG geldt voor verwerking van gegevens die niet incidenteel is.
De AP merkt daarbij op dat verwerking van gegevens zelden incidenteel zal zijn. En geeft daarbij expliciet het volgende voorbeeld: “Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt”.
Documenteren welke personeelsgegevens je vastlegt en wat je er mee doet.
Onder de AVG heeft u als werkgever de plicht om de gegevens die je vastlegt te documenteren en inzichtelijk te maken.
Dat betekent dat je ook voor uw personeelsadministratie een zogenaamd Register Gegevensverwerking op zal moeten stellen. In dat register documenteert je welke gegevens worden opgeslagen, wie daar mee werkt, hoe lang de gegevens bewaard blijven, wat het doel is van de verwerking etc.
De werkgever moet de werknemer hierover ook informeren. Als je een personeelshandboek heeft, raden wij je aan dit register daar in op te nemen.
Striktere eisen aan de toestemming van de werknemer
Daarnaast wordt in de AVG de toestemmingstemming die je van je medewerker hebt om de gegevens te gebruiken strikter.
De toestemming moet volgens de AVG worden gegeven “in vrijheid”. Omdat in de relatie werkgever/werknemer een gezagsverhouding is, wordt die vrijheid minder snel verondersteld.
Een algemene formulering voor de toestemming in een arbeidsovereenkomst zal dus niet meer voldoet. Als er geen andere grondslag is, zal je toestemming moeten vragen. Bijvoorbeeld het gebruik van foto’s op de website in het menu-item “over ons” . Vraag voor elke handeling specifiek toestemming aan de medewerker.
Uitgebreidere rechten werknemer
De AVG is ook verplicht voor je personeelsadministratie. De werknemer ook het recht op een kopie van zijn volledige personeelsdossier. Je kunt een kopie dus niet meer weigeren.
Bovendien moet je de werknemer informeren hoe de gegevens uit zijn/ haar dossier kunnen worden gecorrigeerd en dat hij/ zij ook een klacht in kan dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
Als derde krijgt de werknemer het recht op zogenaamde dataportabiliteit. De werkgever moet er voor zorgen dat de werknemer zijn gegevens op kan vragen zodat hij die door kan geven aan anderen.
De werkgever is verplicht binnen één maand te reageren op dergelijke verzoeken van de werknemer. Als je geen gehoor geeft aan een verzoek moet je dit schriftelijk melden en de werknemer meteen attenderen op de mogelijkheden die hij heeft: een klacht indienen bij de AP of naar de rechter.
Ook deze zaken vragen dus om een update van het personeelshandboek.
Impact in de praktijk
In de praktijk betekent de nieuwe verordening vooral dat het automatisme waarmee personeelsgegevens vastgelegd worden, kritisch tegen het licht gehouden moet worden.
Het opstellen van het Register Gegevensverwerking is daarvoor, naast een verplichting, ook een prima tool. Hierin maak je de verwerking van de personeelsgegevens inzichtelijk.
Dit register gebruikt je vervolgens als basis om aan de andere verplichtingen uit de AVG te voldoen, zoals de toestemming en informatieplicht jegens jouw werknemers