Nieuwe Europese verordening betreffende de verwerking van persoonsgegevens: wat is de impact op het personeelsbeheer?

Hick JulienDe Verordening (EU) 2016/679 betreffende de bescherming van persoonsgegevens (de “Verordening”) werd aangenomen op 27 april 2016. Die Verordening zal effectief toepasselijk worden vanaf 25 mei 2018.

De Verordening wijzigt het wettelijk kader inzake de bescherming van persoonsgegevens in Europa, en zal de Belgische wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (“de Privacywet”) vervangen.

Julien Hick, advocaat bij Laga, geeft een niet-exhaustief overzicht van de implicaties van de Verordening op het personeelsbeheer.

Meer transparantie

De Privacywet bevat bepaalde informatieverplichtingen ten aanzien van de personen wiens persoonsgegevens worden verwerkt (in een HR-context, het personeel).

Deze informatie heeft betrekking op onderwerpen zoals de identiteit van de verantwoordelijke voor de verwerking (dikwijls de werkgever), de doeleinden van de verwerking (bijvoorbeeld de personeelsadministratie, controle van werknemers, etc.), de categorieën van ontvangers van de gegevens (bijvoorbeeld verzekeringsmaatschappijen, sociale secretariaten, sociale zekerheidsinstellingen etc.), de betrokken gegevenscategorieën en de rechten van de betrokken persoon (toegang en verbetering).

De Verordening legt een grotere informatieplicht op. Zo moet naast informatie hierboven opgesomd, bijvoorbeeld nog het volgende worden meegedeeld:

  • een meer gedetailleerde beschrijving van de doeleinden van de verwerking;
  • of de persoonsgegevens nodig zijn voor de uitvoering van een wettelijke of contractuele verplichting, en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt (bijvoorbeeld de onmogelijkheid om de bedrijfsvoorheffing correct te berekenen indien de werknemer zijn gezinssituatie niet meedeelt);
  • de eventuele doorgifte van persoonsgegevens naar het buitenland. Indien de persoonsgegevens worden doorgegeven naar derde landen buiten de Europese Economische Ruimte, die geen passend beschermingsniveau bieden voor persoonsgegevens, moet dit worden toegelicht, waarbij tevens wordt aangegeven welke maatregelen werden genomen hieraan de remediëren;
  • dat de betrokkenen het recht hebben klacht in te dienen bij een toezichthoudende autoriteit (Privacycommissie).

Verwerkers

Onder verwerker wordt verstaan degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Het kan bijvoorbeeld gaan om een sociaal secretariaat (die de payrollgegevens verwerkt voor rekening van de werkgever), of nog de leveranciers van gegevensopslagdiensten.

De Privacywet bepaalt reeds dat de verwerkingsverantwoordelijken (in een HR-context, de werkgevers), overeenkomsten moeten sluiten met hun verwerkers (die in het bijzonder de instructies aan de verwerkers, de beveiligingsmaatregelingen die zij moeten nemen en hun aansprakelijkheid vastleggen). De Verordening past hetzelfde principe toe, maar werkt de bepalingen die in de overeenkomst met de verwerkers moeten worden opgenomen verder uit.

Naast wat reeds in de Privacywet was bepaald, moeten de overeenkomsten met de verwerkers onder andere:

  • de verwerking uitgevoerd door de verwerker beschrijven;
  • voorzien of de verwerkingsverantwoordelijke (werkgever) aanvaardt dat de verwerker persoonsgegevens doorgeeft naar het buitenland en volgens welke modaliteiten;
  • waarborgen dat het personeel van de verwerker zich ertoe verbindt de vertrouwelijkheid van de persoonsgegevens na te leven;
  • voorzien dat de verwerker bijstand aan de verantwoordelijke verleent indien een betrokkene (bijvoorbeeld werknemer) zijn rechten uitoefent (bijvoorbeeld toegang en verbetering);
  • voorzien dat de verwerker de nodige documentatie bijhoudt om aan te tonen dat hij zijn verplichtingen naleeft.

Register van de verwerkingsactiviteiten

De Verordening heft de verplichting op om de gegevensverwerking aan te geven bij de autoriteiten (in België, de Commissie voor de bescherming van de persoonlijke levenssfeer). Aan de andere kant legt de Verordening de verplichting op aan de verwerkingsverantwoordelijke om een register bij te houden, dat gedetailleerde informatie over de verwerking bevat. Een opmerkelijke uitzondering geldt niettemin op deze verplichting: de ondernemingen die minder dan 250 personen in dienst hebben zijn in principe vrijgesteld.

Inbreuken in verband met persoonsgegevens

De inbreuken in verband met persoonsgegevens (data breaches) maken het voorwerp uit van toenemende ongerustheid. Des te meer aangezien die inbreuken niet noodzakelijkerwijze voortvloeien uit praktijken van cybercriminaliteit, maar dikwijls uit onschuldige praktijken (bijvoorbeeld het verlies van een USB-stick, het sturen van een e-mail naar een verkeerde bestemmeling, etc.).

De Privacywet legt geen specifieke verplichtingen op in geval van inbreuken in verband met persoonsgegevens. De Privacycommissie heeft echter aangeraden om eventuele belangrijke inbreuken te melden, en om de betrokken personen in die gevallen op de hoogte te brengen.

De Verordening legt nu dwingende verplichtingen op in geval van inbreuken in verband met persoonsgegevens, en met name:

  • de melding aan de autoriteit (Privacycommissie) in principe uiterlijk 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen (tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de personen wiens gegevens het voorwerp uitmaken van de inbreuk);
  • de melding aan de betrokkene indien de inbreuk waarschijnlijk een hoog risico inhoudt voor hem/haar.

De uitvoering van de verplichtingen hangt dus sterk samen met de impact van de inbreuk. Om deze verplichtingen correct te kunnen naleven, zal de verantwoordelijke-werkgever procedures moeten implementeren die ervoor zorgen dat het personeel (soms aan de basis van de schending) dit intern correct meedeelt. Zo niet riskeert de naleving van die verplichtingen dode letter te worden.

Besluit

Wat voorafgaat zijn slechts enkele voorbeelden die de impact van de Verordening aantonen. De verplichtingen die uit de Verordening voortvloeien worden van toepassing vanaf 25 mei 2018, wat de verwerkingsverantwoordelijken nog ongeveer anderhalf jaar de tijd geeft om zich aan te passen aan de Verordening. Na het verstrijken van deze termijn, kunnen de autoriteiten sancties opleggen, en de boetes voorzien door de Verordening zijn bijzonder afschrikwekkend: in het ergste geval tot 4 % van de totale wereldwijze jaaromzet van een onderneming of 20 miljoen euro (hetzij het hoogste bedrag). Een gewaarschuwde werkgever telt voor twee…

Julien Hick

Advocaat Laga

Over de auteur

Julien Hick is als advocaat verbonden aan het departement sociaal recht van het advocatenkantoor Laga, dat hij vervoegd heeft in 2014. Daarvoor maakte hij gedurende 10 jaar deel uit van het departement sociaal recht van een ander internationaal advocatenkantoor te Brussel.

Julien legt zich voornamelijk toe op het arbeidsrecht, met een bijzondere aandacht voor herstructureringen (arbeidsrechtelijke bijstand bij fusies en overnames, collectieve ontslagen, overnames van ondernemingen, enz.).

Julien heeft eveneens een bijzondere expertise opgebouwd in het domein van de bescherming van persoonsgegevens. In dat verband verleent hij regelmatig advies aan nationale en internationale cliënten over een verscheidenheid aan onderwerpen zoals de controle van werknemers, de invoering van een klokkenluidersregeling (whistle blowing) en de organisatie van gegevensstromen binnen groepen van vennootschappen.
 


Gepubliceerd op 22-12-2016

Berichttitel

Berichtomschrijving
  278