Practice Group Social Law:

Transcriptie

1 Practice Group Social Law: The obligations with regard to "Employee Data under the GDPR from a practical point of view

2 Welkom/Bienvenue Co-Voorzitters van de PG Social Law : Dominique Taquet Juriste d entreprise HERSTAL Group 04/ dominique.taquet@herstalgroup.com Astrid Van Langenhoven Bedrijfsjuriste Degroof Petercam 0496/ a.vanlangenhoven@degroofpetercam.com

3 The obligations with regard to "Employee Data" under the GDPR from a practical point of view Sprekers : De heer Willem Debeuckelaere, Voorzitter van de Commissie voor de bescherming van de persoonlijke levenssfeer & Mevrouw Caroline de Geest, Woordvoerder van de Commissie voor de bescherming van de persoonlijke levenssfeer

4 Doel Workshop Deze workshop beoogt de bedrijfsjurist een zicht te geven op de verplichtingen van de werkgever als verwerker van Employee data in het kader van de GDPR (de General Data Protection Regulation (EU) 2016/679).

5 Introductie

6 Toepassingsgebied HR service providers (verwerker) - Sociaal secretariaat - IT services -... AVG Verwerkings overeenkomst Werkgevers (verantwoordelijke) Persoonsgegevens van personeel

7 Beginselen verwerking van persoonsgegevens (Art. 5) Rechtmatig, behoorlijk en transparant Doelbinding Data minimalisatie Juistheid Opslag beperking Integriteit & vertrouwelijkheid NEW! Verantwoordingsplicht

8 Rechtmatig, behoorlijk en transparant Gerechtvaardigde verwerkingsgrond Eerlijke, niet frauduleuse verwerking Informatie aan de betrokkene o Duidelijke taal o Regels, risico s en rechten Werknemers/potentiële werknemers Direct/indirect

9 Doelbinding Welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Geen verwerking op een manier die onverenigbaar is met die doeleinden

10 Data minimalisatie & juistheid Toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt Verwerk dus enkel het strikte minimum De gegevens moeten accuraat zijn

11 Opslagbeperking De gegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt

12 Integriteit en vertrouwelijkheid Verwerking volgens afdoend veiligheidsniveau door gebruik te maken van passende, technische en organisatorische maatregelen Bescherming tegen iedere niet toegelaten of onwettige verwerking, tegen verlies, vernietiging of kwaliteitsverlies van de gegevens

13 Verantwoordingsplicht De verantwoordelijke voor de verwerking is, in functie van het risiconiveau, verantwoordelijk voor de naleving van de beginselen Bewijslast Aanduiden DPO Dataregister ( 250 WNs) Privacyverklaringen.

14 Verplichtingen verantwoordelijke voor verwerking Aanduiden van vertegenwoordiger Privacy by design and by default Meldplicht datalekken Dataprotection Impact Assessment Register van de verwerkingsacticiteiten Functionaris voor gegevensbescherming Verwerker

15 Gegevensbeschermingseffectbeoordeling Risicoanalyse High risk HR activiteiten: Rekrutering Screening Evaluatie en beoordeling Ontslag Advies Privacycommissie

16 Meldplicht datalekken Meldplicht binnen 72 uren na vaststelling Aan DPA Aard van het datalek Categorieën/hoeveelheid betrokkene datasubjecten en databestanden Gevolgen van het datalek Te nemen maatregelen DPA krijgt onderzoeksbevoegdheden Aan betrokkenen werknemers (HR data)

17 Dataregister Richtlijn 1995 Verplichting voor verantwoordelijke om verwerking aan te geven bij DPA AVG, van toepassing vanaf 28 mei 2018 Verplichting tot bijhouden van dataregister Verantwoordelijke Verwerker

18 Dataregister Uitzondering voor KMO's (onderneming met minder dan 250 werknemers) Deze zijn hieraan a priori niet onderworpen behalve in drie gevallen: de verwerking die zij verrichten houdt een risico in de verwerking is niet incidenteel de verwerking betreft gevoelige gegevens

19 Functionaris voor gegevensbescherming Aanwijzing VERPLICHT overheidsinstantie of overheidsorgaan hoofdzakelijk belast met verwerkingen vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens OPTIONEEL in andere gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten een functionaris voor gegevensbescherming aangewezen worden

20 Functionaris voor gegevensbescherming 1. DPO naar behoren en tijdig betrekken bij alle aangelegenheden die verband persoonsgegevens 2. DPO ondersteunen bij zijn taken door hem de nodige toegangen te verschaffen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid Positie 3. DPO ontvangt geen instructies met betrekking tot de uitvoering van zijn taken 4. DPO wordt niet ontslagen of gestraft voor de uitvoering van zijn taken en brengt rechtstreeks verslag uit aan de hoogste leidinggevende 6. DS kan met DPO contact opnemen voor het uitoefenen van zijn recten

21 Functionaris voor gegevensbescherming de verwerkingsverantwoordelijke of de verwerker en de werknemers informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker Taken advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan met de toezichthoudende autoriteit samenwerken

22 Functionaris voor gegevensbescherming Aanbeveling Werkgroep 29 Interne analyse vastleggen om te bepalen of er al of niet een FG aangewezen moet worden Privaatrechtelijke organisaties die overheidstaken verrichten of publiek gezag uitoefenen Naam en contactgegevens van FG bekend maken aan toezichthouder en medewerkers De specifieke taken van de FG en de reikwijdte daarvan duidelijk aan te geven Bij geschillen: vastleggen waarom het advies van de FG niet gevolgd is Bewerkstelligen van stabiel contract en voldoende garanties tegen oneerlijk ontslag bevorderen de onafhankelijk van FG Beleidsnota opstellen rond belangenconflicten

23 Rechtmatige verwerkingsgrond TOESTEMMING vrij, specifiek, geïnformeerd & ondubbelzinnig Geen geldige verwerkingsgrond in arbeidsrelatie Recht op vergeten: wissing en verbetering Richtlijnen WG29 + nationale specificaties

24 Rechtmatige verwerkingsgrond GERECHTVAARDIGD BELANG Rechtspraak EHJ: economisch belang is niet voldoende TENZIJ de individuele rechten en belangen van de betrokkene zwaarder wegen Transparantie en verantwoording + waarborgen

25 Rechtmatige verwerkingsgrond OVEREENKOMST OF WETTELIJKE VERPLICHTING Wel beperkt door doelbinding en dataminimalisatie!

26 Rechten van de werknemer Recht op informatie Recht op toegang tot persoonsgegevens Recht op verbetering Recht op vergetelheid Recht op de beperking van de verwerking Recht op overdraagbaarheid van gegevens

27 Binding Corporate Rules Doorzenden van gegevens buiten EU Safe Harbor: ongeldig verklaard Privacyshield: wankel Binding Corporate Rules: uitdrukkelijk erkend in AVG Goedkeuring DPA vereist

28 Specificaties & afwijkingen (art. 88 AVG) HARMONISATIE? JA MAAR, Lidstaten kunnen bij wet of CAO afwijkende bepalingen voorzien Rekrutering, evaluatie, functieomschrijving, diversiteit, veiligheid en gezondheid, rechten van de werknemers, ontslag, Meedelen aan de Europese Commissie tegen 25 mei 2018

29 In praktijk Toestemming geen geldige grondslag voor HR data Alternatief: gerechtvaardigd belang van de WG Transparantie Beperkingen: doelbinding en dataminimalisatie Afweging geval per geval

30 Pseudonimisering: the way out? Gepseudonimiseerde data worden gezien als persoonsgegevens, maar kunnen minder streng worden behandeld Identificatiesleutel apart bijhouden en technische en organisatorische maatregelen treffen om deze te beveiligen Europese richtlijnen zijn nodig en worden voorbereid

31 Administratieve boetes (Art. 83) Hoogte van de boetes tot 10 miljoen of voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (Inbreuken op art. 8, 11, 25-39, 41.4., 42 en 43) tot 20 million of voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar (Inbreuken op art. 5-7, 9, 12-22, 44-49, Hoofdstuk IX, 58.1 en 58.2) Multinationale ondernemingen Aandacht voor nationale afwijkingen (DPO, RRnr )

32 In praktijk 13 stappen

33 In praktijk 13 stappen

34 In praktijk 13 stappen

35 Bedankt voor uw aandacht!