OR & beleid Privacy proof moet! Mr. Rick van Herk Donderdag 7 juni 2018 Programma Rol ondernemingsraad bij privacy AVG Plichten Checklist OR Rechten van de ondernemingsraad Instemmingsrecht Adviesrecht Overeenstemmingsrecht Informatierecht Overleg Initiatiefrecht 1
Instemmingsrecht Een regeling omtrent het verwerken van en de bescherming van persoonsgegevens van in de onderneming werkzame personen (artikel 27 lid 1 sub k WOR) verzuimregistratie, personeelsdossiers, personeelsinformatiesystemen, salarisadministratie Een regeling inzake voorzieningen die geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van personen die in de onderneming werkzaam zijn (artikel 27 lid 1 sub l WOR) cameratoezicht, tijdsregistratiesystemen, GPS-systemen, software voor de controle op e-mail en internetgebruik, etc Een regeling op het gebied van het aanstellingsbeleid (artikel 27 lid 1 sub d WOR) (online) screening Instemmingsrecht Een regeling omtrent het verwerken van en de bescherming van persoonsgegevens van in de onderneming werkzame personen krachtens publiekrechtelijke aanstelling of arbeidsovereenkomst werkzaam zijn in de onderneming; uitzendkrachten die ten minste 24 maanden in het kader van werkzaamheden van de onderneming werkzaam zijn; gedetacheerde werknemers. ZZP-ers? Sollicitanten? Uitzendkrachten? Adviesrecht Een voorgenomen besluit tot invoering of wijziging van een belangrijke technologische voorziening (artikel 25 lid 1 sub k WOR) Een voorgenomen besluit tot het doen van een belangrijke investering ten behoeve van de onderneming (artikel 25 lid 1 sub h WOR) 2
AVG Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG / GDPR) - één privacywet in de hele EU De Wet bescherming persoonsgegevens is vervallen Let op: sector specifieke wetgeving blijft gelden! Hoogte boetes omhoog (maximaal 20.000.000,- of 4% van de jaarlijkse wereldwijde omzet) Papieren tijger? Persoonsgegevens De privacyregelgeving is alleen van toepassing op de verwerking van persoonsgegevens Wat zijn persoonsgegevens? Alle informatie over een geïdentificeerde persoon of een persoon die redelijkerwijs geïdentificeerd kan worden ( de betrokkene ) Werknemers zijn (ook) betrokkene! Persoonsgegevens Bijvoorbeeld ook: functioneringsverslagen foto s 3
Bijzondere persoonsgegevens Verwerken Vrijwel iedere handeling, zoals bijvoorbeeld: Verzamelen Vastleggen Ordenen Structureren Opslaan Bijwerken Wijzigen Opvragen Verwerkingsverantwoordelijke en verwerker Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. 4
Beginselen van gegevensbescherming Rechtmatigheid, behoorlijkheid en transparantie Doelbinding Minimale gegevensverwerking (dataminimalisatie) Juistheid Opslagbeperking Integriteit en vertrouwelijkheid Verantwoordingsplicht ( accountability ) Doelbinding Iedere verwerking dient een doel te hebben Dat doel moet omschreven zijn in het privacy beleid Het doel moet welbepaald en duidelijk omschreven zijn Persoonsgegevens mogen niet worden verwerkt of gebruikt in strijd met of buiten het bepaalde doel Dataminimalisatie: Verwerk niet meer gegevens dan noodzakelijk voor het bereiken van het doel Kies de weg van de minste inbreuk (anonimiseren) Grondslag a. Ondubbelzinnige toestemming van de betrokkene b. Noodzakelijk voor de uitvoering of voorbereiding van een overeenkomst c. Noodzakelijk om wettelijke verplichting verantwoordelijke na te komen d. Noodzakelijk voor vitaal belang van de betrokkene e. Noodzakelijk voor goede vervulling van publiekrechtelijke taak door bestuursorgaan f. Noodzakelijk voor de behartiging van gerechtvaardigd belang van verantwoordelijke of derde aan wie de gegevens worden verstrekt tenzij het recht op privacy prevaleert 5
Toestemming Toestemming moet vrij gegeven zijn (werknemer mag niet benadeeld worden als hij/zij geen toestemming geeft) Risico in arbeidsrelaties! Toestemming moet ondubbelzinnig zijn (niet uitgaan van het principe wie zwijgt, stemt toe ) actieve handeling nodig ivm bewijs Toestemming moet zijn gegeven voor een specifieke verwerking en een specifiek doel Betrokkene moet hierover zijn geïnformeerd Toestemming kan altijd worden ingetrokken Verantwoordingsplicht Data-inventarisatie/verwerkingsregister: Welke persoonsgegevens worden verwerkt De doelen van de verwerking Van wie persoonsgegevens worden verwerkt Met welke derde partijen de gegevens worden gedeeld Wat de bewaartermijn van de gegevens is Welke beveiligingsmaatregelen zijn getroffen Of de gegevens worden verzonden naar het buitenland, en zo ja, naar welk land Informatieplicht Werkgever moet werknemer tijdig en in begrijpelijke taal informeren over de gegevensverwerking. informatiebrief, privacy statement, regeling in personeelshandboek De informatieplicht omvat in ieder geval: Contactgegevens FG Welke gegevens worden verwerkt Voor welk doel worden de gegevens verwerkt Bewaartermijnen Rechten van de werknemer Of de gegevens worden gedeeld met derde partijen 6
Rechten van betrokkenen Recht op informatie Recht op inzage Recht op rectificatie en aanvulling Recht van bezwaar Recht op vergetelheid Recht op dataportabiliteit Recht op beperking van de verwerking Rechten van betrokkenen En dus ook werknemers. Organisaties moeten ervoor zorgen dat betrokkenen hun rechten kunnen uitoefenen (zoals recht op inzage, verbetering, aanvulling, verwijdering of afscherming, etc.). Indien organisatie gegevens nodig heeft om aan een wettelijke plicht te voldoen, hoeven gegevens niet te worden verwijderd. Organisaties moeten er rekening mee houden dat zij tijdig binnen 4 weken aan verzoeken van betrokkenen kunnen voldoen: Technisch mogelijk? Gestroomlijnd proces voor het afhandelen van verzoeken? Afspraken met verwerkers? Verwerkersovereenkomst welke beveiligingsmaatregelen de verwerker moet treffen hoe de verantwoordelijke toezicht gaat (en mag) houden op de naleving hoe en wanneer datalekken moeten worden gemeld of de verwerker onderaannemers ( subverwerkers ) mag gebruiken 7
Functionaris voor de gegevensbescherming Is verplicht indien: Organisatie een overheidsinstantie of overheidsorgaan is Organisatie hoofdzakelijk en op grote schaal regelmatig en stelselmatig betrokkenen observeert Organisatie op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt Instemmingsrecht ondernemingsraad? Beveiligingsmaatregelen Organisaties moeten passende technische en organisatorische beveiligingsmaatregelen treffen tegen verlies of onrechtmatige verwerking Wat is in een concreet geval passend? Dit is afhankelijk van: De stand van de techniek De kosten van de beveiligingsmaatregelen De risico s die gepaard gaan met de verwerking De aard van de verwerkte gegevens Data Protection Impact Assessment (DPIA) Verplichting DPIA uit te voeren als de verwerking (waarschijnlijk) een hoog privacyrisico oplevert voor de betrokkene. In ieder geval bij: Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op een geautomatiseerde verwerking (incl. profilering) en op grond waarvan besluiten met rechtsgevolgen worden genomen of die op andere wijze significante gevolgen heeft voor een natuurlijk persoon; Grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens; Stelselmatig en grootschalig monitoren van openbaar toegankelijke ruimten. 8
Privacy by Design & Privacy by Default Organisaties zullen verplicht zijn gegevens te beschermen middels privacy by design (ontwerp) en privacy by default (standaardinstellingen) Al in de ontwerpfase van een applicatie of ICT-systemen zal er dus rekening mee moeten worden gehouden dat voldoende technische waarborgen worden ingebouwd! Internationaal gegevensverkeer Binnen de EU: toegestaan Buiten de EU: in principe verboden, tenzij: het derde land waarborgt een passend beschermingsniveau en de uitwisseling voldoet aan de AVG Passende voorzorgsmaatregelen (EU-modelcontracten (ongewijzigd) of binding corporate rules) Wettelijke uitzondering Vergunning minister van Justitie en Veiligheid Let op: Het verbod geldt ook binnen concernverband! Brexit? Meldplicht datalekken Datalek: toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is (opzettelijk of per ongeluk) Verlies USB-stick, mobiele telefoon, hack, ongeautoriseerde toegang, etc. Elk datalek moet gemeld worden bij de AP, binnen 72 uur, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de vrijheden en rechten van de individuen U hoeft de betrokkenen alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft Verplichting om alle beveiligingsincidenten en datalekken te registeren Zorg voor een protocol rondom datalekken; zowel voor alle werknemers als verwerkers 9
Interne bewustwording Alle personen binnen de organisatie moeten goed geïnformeerd zijn en in overeenstemming met de AVG werken; Borgen van aanpassen documenten bij nieuwe of gewijzigde verwerkingen Steekproefsgewijze controles Evaluatiemomenten Checklist OR data inventarisatie verwerkingsregister privacybeleid (t.a.v. medewerkers) procedure voor betrokkenen om rechten uit te oefenen privacy statement voor medewerkers standaard arbeidsovereenkomst Functionaris Gegevensbescherming beveiligingsbeleid verwerkersovereenkomsten protocol datalekken personeelsvolgsystemen interne bewustwording Vragen? 10
WOR-app Download nu de unieke WOR-app met toelichting op artikelen uit de WOR en vele tips en tricks! Scan de QR-code of ga met uw smartphone naar www.declercq.com/worapp Contactgegevens Rick van Herk Advocaat Arbeid, Medezeggenschap & Pensioen r.vanherk@declercq.com 071 581 53 05 www.declercq.com 11