De sollicitatieprocedure, de ondernemingsraad en de zieke werknemer. Zomaar een paar onderwerpen op het gebied van personeel die geraakt worden door de nieuwe privacyregels. Als werkgever verwerk je veel persoonsgegevens van je personeel. Dat begint al bij de sollicitatieprocedure. Je bewaart de ontvangen cv’s, je screent de potentiële collega’s op internet/social media en bij het aannemen vraag je om een kopie legitimatiebewijs en het bankrekeningnummer. Tijdens de arbeidsovereenkomst bewaar je verslagen van functionerings- en beoordelingsgesprekken en meld je je werknemer aan bij de arbodienst. Bij alle gegevens die worden verwerkt moet de vraag worden gesteld: heb ik een grondslag voor de verwerking en is de verwerking proportioneel?
De meest gebruikte grondslag voor de verwerking van gegevens, de toestemming, kan niet worden gebruikt in de relatie met je werknemers. Je werknemer zal zich namelijk vanwege de gezagsverhouding vaak niet vrij genoeg voelen om een verzoek af te wijzen. Je zal daarom altijd op zoek moeten naar een andere grondslag. Die zal soms gelegen zijn in de uitvoering van een wet, zoals bijvoorbeeld voor het opvragen van een kopie van een identiteitsbewijs, en anders in de uitvoering van een overeenkomst (de arbeidsovereenkomst) of de belangenafweging. Deze laatste grond wordt bijvoorbeeld gebruikt in gevallen waarin de werkgever middels camera’s toezicht wil houden op de werkvloer. Hierbij dient tevens de proportionaliteits- en subsidiariteitstoets te worden toegepast.
Als er een grondslag is, zal je de wijze en duur van verwerking van de gegevens moeten vaststellen en dit ook in veel gevallen moeten registreren. Bovendien ben je verplicht je werknemer hierover te informeren. Aan deze informatieplicht kan je voldoen door het voeren van een privacy beleid en dat bijvoorbeeld kenbaar maken in je personeelshandboek of per brief. De informatie moet schriftelijk en in heldere taal worden overgebracht. Je moet onder andere de contactgegevens van jezelf en de organisaties waar je gegevens mee uitwisselt (bijvoorbeeld de arbodienst) vermelden, alsook de duur van de verwerking, welke rechten een werknemer heeft op inzage of beperking van de gegevensverwerking en de plaats waar een eventuele klacht kan worden ingediend.
Na de vaststelling van het beleid en de informatievoorziening is het zaak om op regelmatige basis te controleren of het beleid goed wordt uitgevoerd. De Autoriteit Persoonsgegevens heeft de bevoegdheid om bij overtreding torenhoge boetes op te leggen.
Een voorbeeld van wat verandert, is welke gegevens je mag vragen en/of verwerken van een sollicitant. Zo mag je een sollicitant niet verplichten via Skype te solliciteren en mag je niet onbeperkt onderzoek doen naar de sollicitant op social media. Ook voor het verwerken van die informatie moet je namelijk een geldige reden hebben en moet het onderzoek noodzakelijk zijn. Een onderzoek op LinkedIn zal de toets makkelijker doorstaan dan de zoektocht naar informatie op Facebook of Twitter.
Controleer voor 25 mei 2018 of jouw organisatie AVG-proof beleid heeft voor onder andere de sollicitatieprocedure, de opbouw van het personeelsdossier, de toegang tot het personeelsdossier, de rechten van werknemers aangaande dit personeelsdossier, de omgang met een zieke werknemer, het toezicht op het personeel door bijvoorbeeld een controle van e-mails, tracking van reisgegevens of verwerking van camerabeelden en toets ten slotte of de OR instemmingsrechten heeft omtrent deze onderwerpen. Dit laatste is bijvoorbeeld vaak zo in geval van verzuimbeleid of cameratoezicht.
Heb je hulp nodig bij de AVG-check op het gebied van personeelsbeleid of bij het opstellen van de brief waarin je je personeel informeert? Wij helpen je graag.