GDPR informatieplicht en data register

De GDPR kent duidelijkere rechten toe aan de werknemer en legt duidelijkere plichten op aan de werkgever. Onder de GDPR heeft de werkgever dan ook twee belangrijke verplichtingen:

• het informeren van de werknemer; en
• het documenteren van alle verwerkingen van persoonsgegevens in een dataregister.

Informatieplicht van de werkgever
De werknemer moet op de hoogte zijn van zijn rechten, maar ook van de plichten van de werkgever, zodat de hele verwerking van zijn persoonsgegevens op een transparante manier kan plaatsvinden. Deze verplichting van de werkgever is niet nieuw, maar werd wel sterk uitgebreid (bijkomende informatie moet worden gegeven) en is nu duidelijk afdwingbaar.

Waarover en wanneer informeren?
Zo moet de werknemer weten:

• welke persoonsgegevens van hem worden verwerkt en waarom;
• waar deze werden gehaald: van de werknemer zelf of uit andere bronnen;
• wie deze zal mogen inkijken;
• hoe lang ze zullen bewaard worden;
• of ze buiten de EU verstuurd zullen worden, en, indien ze buiten de EU verstuurd worden, wat zijn rechten zijn;
• wie hij kan contacteren over de verwerking van zijn gegevens;
• over welke rechten de werknemer beschikt om de verwerking van zijn gegevens te kunnen controleren;
• …

Deze informatie moet de werkgever aan zijn werknemer bezorgen iedere keer wanneer hij persoonsgegevens verzamelt over zijn werknemer, tenzij de werknemer reeds over deze informatie beschikt.

Voorbeeld
Stel dat de werkgever een telefoon ter beschikking stelt van zijn werknemers die de werknemer ook voor privédoeleinden mag gebruiken, dan is het mogelijk dat de werkgever maandelijks bepaalde persoonsgegevens verwerkt. Het opslaan en opvolgen van telefoongegevens is immers ook beschermd. De werknemer moet dus op de hoogte gebracht worden welke telefoongegevens van hem verwerkt worden, waarom de werkgever dit verwerkt en hoelang de werkgever deze gegevens zal bijhouden. Bovendien moet de werknemer weten wat zijn rechten zijn en bijvoorbeeld inzage kunnen vragen in zijn dossier.

Privacy policy
Een privacy policy somt de rechten van de werknemer op en informeert hem bovendien ook over de verwerking van de persoonsgegevens zelf. Met een privacy policy waarin al deze informatie duidelijk uiteengezet wordt, kan de werkgever in principe aan zijn informatieplicht voldoen voor de volledige duur van de arbeidsovereenkomst met de werknemer.

Opstellen van een dataregister

Ter vervanging van aangifte van verwerking bij de Privacycommissie

In lijn met de bovenvermelde informatieplicht, moet de werkgever dezelfde informatie ook in een register bewaren. De GDPR verplicht werkgevers immers om in bepaalde gevallen een dataregister bij te houden. Deze verplichting vervangt de verplichting om aangifte te doen aan de Privacycommissie met een register van verwerkingsactiviteiten. De verplichting tot het bijhouden van een dataregister vermindert de administratieve last, maar het blijft wel een administratieve taak die op de verwerkingsverantwoordelijke rust.

Welke ondernemingen zijn verplicht een dataregister bij te houden?
Elke verwerkingsverantwoordelijke of verwerker moet een dataregister bijhouden. Deze verplichting is in principe enkel van toepassing op ondernemingen met minstens 250 werknemers. Hiermee wil de GDPR de kleine en middelgrote ondernemingen ontzien van deze administratieve last.

Ook kleinere ondernemingen moeten echter toch een register bijhouden:

• wanneer de verwerking van persoonsgegevens die zij uitvoeren waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
• of wanneer de verwerking niet incidenteel is;
• of wanneer er gevoelige gegevens verwerkt worden.
  
  Onder ‘verwerking die niet incidenteel is' valt volgens de Privacycommissie onder andere het personeelsbeheer. In haar aanbeveling heeft de Privacycommissie dan ook aangeraden om altijd een dataregister bij te houden, ongeacht de grootte van de onderneming. Ze stelt hierbij wel dat KMO's zich mogen beperken tot de niet-incidentele verwerkingen en dus niet elke verwerking moeten vermelden.

Welke gegevens bevat een dataregister?
In dit register moet bepaalde informatie over de verwerking van persoonsgegevens worden opgenomen, zoals het doel van de verwerking, welke categorieën van persoonsgegevens worden verwerkt, wie de ontvangers zijn van de gegevens, wat hun bewaartermijn is,…

Bron : Securex