Bedrijven verwerken op grote schaal persoonlijke informatie. Om de privacy te waarborgen van degene op wie die gegevens betrekking hebben, is het verwerken van persoonsgegevens aan regels gebonden. Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018, komen die regels te veranderen. Wat houdt dat voor u in?
Wet Bescherming Persoonsgegevens vervalt
Op dit moment regelt de Wet Bescherming Persoonsgegevens (‘Wbp”) nog hoe organisaties in Nederland met persoonlijke gegevens en privacy van onder meer hun werknemers moeten omgaan. De Wbp was gebaseerd op de Europese Privacy richtlijn 1995. De Europese wens om regelgeving te ontwikkelen die beter aansloot bij het digitale tijdperk en om aan de versnipperde wetgeving in alle lidstaten een einde te maken, heeft ertoe geleid dat de Privacyrichtlijn met ingang van 25 mei 2018 wordt ingetrokken en wordt vervangen door nieuwe Europese privacy wetgeving, de AVG. Het verschil met de Privacy richtlijn is, dat de AVG direct doorwerkt in Nederland, zonder dat de AVG eerst moet worden omgezet in Nederlandse wetgeving. Werkgevers zullen vanaf 25 mei 2018 aan de AVG moeten voldoen. Wat houdt die nieuwe privacy wetgeving eigenlijk in? Wij zetten dat voor u op een rijtje.
Wat blijft hetzelfde?
De AVG is net als de Wbp van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens en op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Ook de gronden waarop gegevens mogen worden verwerkt zijn gelijk gebleven. Kort gezegd zijn dat de volgende gronden:
- toestemming van de werknemer;
- de verwerking is noodzakelijk voor de overeenkomst waarbij de werknemer partij is;
- de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
- de verwerking is noodzakelijk om de vitale belangen van de werknemer te beschermen;
- de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang; en
- de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de werkgever.
Bijzondere categorieën persoonsgegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, seksueel leven, vakbondslidmaatschap en strafrechtelijke en medische gegevens worden zowel naar huidig als komend recht extra beschermd.
Verder blijven de regels over het doorgeven van persoonsgegevens naar landen buiten de EU hetzelfde. De hoofdregel blijft dat persoonsgegevens alleen mogen worden doorgegeven naar landen of regio’s buiten de EU als deze landen een passend beschermingsniveau hebben. De Europese Commissie heeft een lijst opgesteld van landen die daar aan voldoen.
Wat verandert er?
In het algemeen kan gezegd worden dat de betrokkene – waaronder de werknemer – meer rechten krijgt en dat de verantwoordelijke – waaronder de werkgever – meer verplichtingen krijgt.
Meer rechten voor werknemers
Recht van inzage (artikel 15 AVG)
Het recht van de werknemer op inzage wordt uitgebreid. Behalve dat de werknemer de gegevens mag inzien, heeft de werknemer ook recht op informatie over het doel van de verwerking, de categorie van persoonsgegevens die worden verwerkt, de categorie van de ontvangers, hoe lang de gegevens worden bewaard, of de gegevens worden gebruikt voor automatische besluitvorming en of de werkgever van plan is de gegevens te transporteren naar het buitenland en zo ja, voor welke waarborgen hij heeft gezorgd. Ook moet de werkgever de werknemer informeren over het recht op rectificatie en het recht om een klacht in te dienen bij de privacy toezichthouder.
De werkgever is op grond van de AVG verplicht om de werknemer op verzoek een kopie te verstrekken van de persoonsgegevens die worden verwerkt. Het recht van de werknemer op een kopie mag echter geen afbreuk doen aan de rechten en vrijheden van derden, wat betekent dat met het verstrekken van een kopie geen inbreuk mag worden gemaakt op de privacy van bijvoorbeeld collega’s of een contactpersoon bij een klant. De werkgever zal bij afgifte van een kopie van het personeelsdossier dus steeds moeten nagaan of de privacy van anderen niet in het gedrang komt.
Recht op rectificatie, wissing en beperking van de verwerking (artikel 16, 17 en 18 AVG)
Werknemers hebben recht op rectificatie van onjuiste persoonsgegevens. Onder bepaalde omstandigheden hebben werknemers recht op wissing van de verwerkte persoonsgegevens, bijvoorbeeld als het verwerken daarvan niet meer nodig is of de gegevens door de werkgever onrechtmatig zijn verwerkt. Hierbij kan bijvoorbeeld gedacht worden aan het opnemen van iemands ras of seksuele geaardheid in het personeelsdossier. Dergelijke informatie mag slechts in uitzonderlijke gevallen worden verwerkt. Worden dergelijke gegevens in strijd met die bepaling verwerkt, dan is die verwerking onrechtmatig en dienen de gegevens (op verzoek van de werknemer) te worden gewist. Met beperking van de verwerking wordt bedoeld dat gegevens slechts mogen worden gebruikt met toestemming van de werknemer. Een beperking van de verwerking geldt op het moment dat de juistheid van die gegevens door de werknemer wordt betwist en/of de werknemer bezwaar tegen die verwerking heeft gemaakt. Ook geldt een beperking van de verwerking indien de verwerking onrechtmatig is en/of niet meer nodig is, maar de werknemer juist niet wilt dat de gegevens worden gewist.
Meer verplichtingen voor de werkgever
Informatieplicht (artikel 13 en 14 AVG)
De werkgever is verplicht de werknemer te informeren over het feit dat verwerking van zijn persoonsgegevens plaatsvindt of zal plaatsvinden, wie zijn persoonsgegevens verwerkt (verwerkingsverantwoordelijke) en wat het doel en de rechtsgrond voor de verwerking is. Ook moet de werkgever de werknemer informeren over hoe lang zijn of haar gegevens zullen worden opgeslagen, over zijn of haar rechten en over de bron van de gegevens. Een praktische manier voor werkgevers om aan deze verplichting te voldoen is om werknemers (bij het aangaan van de arbeidsovereenkomst) door middel van een brief te informeren over het privacy beleid.
Documentatieplicht (artikel 30 AVG)
Met de invoering van de AVG vervalt de verplichting van de werkgever om de verwerking van persoonsgegevens te melden bij het College Bescherming Persoonsgegevens (‘CBP’). Daarvoor in de plaats komt een documentatieplicht: werkgevers dienen alle persoonsgegevens die zij verwerken bij te houden in een register. Die plicht geldt voor grote werkgevers (vanaf 250 werknemers) en voor werkgevers die op grote schaal gegevens van individuen verwerken (bijvoorbeeld recruitmentbureaus), of indien er sprake is van verwerking van gevoelige persoonsgegevens (bijvoorbeeld arbodiensten).
Meldingsplicht bij datalekken (artikel 33 en 34)
De werkgever is op grond van artikel 32 AVG verplicht om passende technische en organisatorische maatregelen te treffen ter beveiliging van de persoonsgegevens. Vindt er toch een datalek plaats, dan is de werkgever verplicht om dit zo snel mogelijk te melden bij de Autoriteit Persoonsgegevens. Ook de werknemer wiens persoonsgegevens het betreft moet zo snel mogelijk op de hoogte worden gesteld van het datalek. Bij een datalek moet men al denken aan het verlies van een smartphone, tablet of laptop in de trein.
Gegevensbeschermingseffectbeoordeling (“Privacy Impact Assessment”) (artikel 35)
Wanneer de wijze waarop de gegevens door de werkgever worden verwerkt een hoog risico meebrengt voor de rechten en vrijheden van natuurlijke personen, dan is de werkgever verplicht een zogenaamde gegevensbeschermingseffectbeoordeling uit te voeren. Deze verplichting is gericht op een verbeterde beveiliging van persoonsgegevens in verband met de razendsnelle technologische ontwikkelingen op met name IT-gebied.
Functionaris voor de gegevensverwerking (artikel 37, 38 en 39 AVG)
Bepaalde categorieën bedrijven zijn onder de AVG verplicht om een functionaris voor de gegevensverwerking in te stellen. Kort gezegd gaat het hierbij om ondernemingen die stelselmatig verwerkingsactiviteiten uitvoeren die grootschalige, regelmatige en systematische observatie van betrokkenen met zich meebrengen of indien de onderneming hoofdzakelijk belast is met verwerking van bijzondere persoonsgegevens. De definitie is nogal vaag en de toekomst zal leren welke ondernemingen hier onder vallen.
Boetes (artikel 83 AVG)
Een groot verschil met de Wbp is dat bij overtreding van de AVG werkgevers een aanzienlijk hogere administratieve boete kunnen worden opgelegd.
Voor inbreuken op formele verplichtingen, zoals met betrekking tot de documentatieplicht, de meldingsplicht bij een datalek, de plicht tot gegevensbeschermingseffectbeoordeling en de verplichting een functionaris voor de gegevensverwerking in te stellen, geldt een maximale geldboete van EUR 10.000.000,- of 2% van de wereldwijde jaaromzet.
Voor schending van materiële verplichtingen, zoals het zonder rechtsgrond verwerken van persoonsgegevens of het in strijd handelen met het recht van inzage of het recht op rectificatie, wissing en beperking van de verwerking, geldt een boete van maximaal EUR 20.000.000 euro of 4% van de wereldwijde jaaromzet.
Bij de beoordeling van de vraag of een administratieve geldboete wordt opgelegd en de hoogte daarvan, wordt rekening gehouden met de concrete omstandigheden van het geval. Relevante omstandigheden zijn bijvoorbeeld de aard, de ernst en de duur van de inbreuk, de opzettelijke of nalatige aard van de inbreuk en eerdere relevante inbreuken door de werkgever. Op dit moment weten we nog niet in hoeverre de hoge boetes in de praktijk ook daadwerkelijk zullen worden opgelegd.
Conclusie
Privacy is in alle opzichten een zeer actueel onderwerp. Invoering van de AVG heeft gevolgen voor iedereen die persoonsgegevens verwerkt, ook voor werkgevers. De wijzigingen ten opzichte van de Wbp zijn beperkt, maar de rechten van de werknemers en de verplichtingen van de werkgevers zijn wel degelijk uitgebreid. Niet-nakoming kan tot hoge boetes leiden. Wij adviseren werkgevers dan ook om voor 25 mei 2018 na te gaan welke gegevens zij verwerken en op welke manier. Voorts adviseren wij werkgevers een privacy beleid op te stellen.
Wat kunnen wij voor u doen?
Wij bieden u een workshop in combinatie met een quick scan aan. Wij hanteren daarbij een uitgebreide privacy checklist voor een vaste prijs en adviseren u over wat bij u in orde is en wat u nog te doen staat. Ook kunnen wij voor u uw privacy-beleid opstellen. Wij hebben een uitstekende samenwerking met partijen die u kunnen helpen bij de invoering van de AVG in uw onderneming. Ko & Co Advocaten is u graag van dienst!