Post on 30-Jul-2020
Privacy op de werkvloer
Klantendag OR Ondersteuning
Dr. mr. Steven Jellinghaus
Eindhoven, 9 maart 2018
De magische datum: 25-5-18
• Algemene Verordening Gegevensbescherming (AVG / Privacyverordening)
• Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)
• Artikel 88 AVG: specifieke landelijke privacyregels voor arbeidsverhouding
AVG: het toepassingsgebied
• Van toepassing op geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen
• Artikel 2 lid 1 AVG
Voorbeelden verwerking persoonsgegevens door werkgever
- Naam werknemer - Opleidingen
- Geboortedatum - Aanwezigheid
- Salaris/Benefits - Ziekteverzuim
- Beelden bewakingscamera - Foto op badge
Basisbeginselen verwerking I
• Behoorlijk, transparant en zorgvuldig verwerken van persoonsgegevens
• Persoonsgegevens alleen verwerken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
• Niet verder verwerken op een niet met die doeleinden onverenigbare wijze- Gegevens salarisadministratie voor marketing?- Gegevens salarisadministratie voor toezenden nieuwe gedragscode?
Basisbeginselen verwerking II
• Minimale gegevensverwerking
• Juistheid
• Opslagbeperking
• Integriteit en vertrouwelijkheid
Grondslagen verwerking
• Toestemming
• Noodzakelijk voor uitvoering (arbeids)overeenkomst
• Noodzakelijk om wettelijke verplichting na te komen
• Noodzakelijk om vitale belangen te beschermen
• Noodzakelijk voor vervulling taak algemeen belang/uitoefening openbaar gezag
Grondslagen verwerking III
• Noodzakelijk voor behartiging gerechtvaardigde belang werkgever of een derde, behalve wanneer belangen of grondrechten en de fundamentele vrijheden van werknemer, zwaarder wegen dan die belangen tenzij privacy recht werknemer prevaleert (belangenafweging)
– Geldt niet voor verwerking door overheidsinstanties in het kader van de uitoefening van hun taken
Bijzondere persoonsgegevens I
• Hoofdregel: geen verwerking van bijzondere persoonsgegevens is toegestaan, tenzij.. strikte uitzonderingsgrond van toepassing. (art. 9 Verordening, hoofdstuk 3 Uitvoeringswet)
• Religieuze of levensbeschouwelijke overtuigingen
• Ras of etnische afkomst
• Politieke opvattingen
• Gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon
• Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
• Lidmaatschap vakbond
• Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen
Bijzondere persoonsgegevens II
• Voorbeelden verbod op verwerking niet van toepassing, indien:• Uitdrukkelijke toestemming van betrokkene• Verwerking noodzakelijk voor de uitvoering van verplichtingen
en rechten op het gebied van arbeidsrecht/sociale zekerheidsrecht
• Verwerking noodzakelijk ter bescherming van de vitale belangen van de betrokkene
• De persoonsgegevens door de betrokkene openbaar zijn gemaakt
• Verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering
• Verwerking noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht (..) (aan voorwaarden verbonden)
Bijzondere persoonsgegevens III
• Verwerking noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg, of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en –diensten of sociale stelsels en diensten (mits beroepsgeheim)
• Verwerking noodzakelijk om redenen van algemeen belang op het gebied van volksgezondheid
• Verwerking noodzakelijk voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek
Functionaris voor gegevensbescherming
• Eisen aan F-G:
– Professionele kwaliteiten en deskundigheid
– Vermogen taken uit te oefenen:
• Informeren en adviseren over privacyrecht
• Toezien op naleving privacyrecht en eigen interne beleid, inclusief bewustwording en opleiding
• Toezien op gegevensbeschermingseffectbeoordeling;
• Samenwerken met toezichthouder
• Contactpersoon voor toezichthouders
– Mag een externe partij zijn
Functionaris voor gegevensbescherming III
• Positie
– Moet tijdig worden betrokken bij verwerkingen;
– Toegang tot persoonsgegevens en verwerkingen;
– Beschikken over de nodige middelen voor uitvoering taak en op peil houden deskundigheid;
– Onafhankelijk;
– Rapporteert rechtstreeks aan de hoogste leidinggevenden;
– Verplicht tot geheimhouding;
– Mag ook andere werkzaamheden verrichten, mits dat niet leidt tot een belangenconflict
Meldplicht datalekken
• Per 1 januari 2016: melden ernstige datalekken (inbreuk op beveiliging van persoonsgegevens)
• Zowel private als publieke sector
• Datalek = toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie
• Voorbeelden: kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker beleidsregels datalekken: wanneer wel en niet melden?
Verwerkersovereenkomst
• Verwerkersverantwoordelijke verwerker
• Overeenkomst verplicht te noemen, o.a.:
– Onderwerp, duur, aard en doel, welke persoonsgegevens, doorgifte aan andere landen, waarborgen verwerking en veiligheid, passende technische en organisatorische maatregelen, toegang en inspecties
– Ketenbeding van deze verplichtingen
Rechten individuele werknemers
• Recht van Inzage + kopie (art. 15)
• Recht op rectificatie (art. 16)
• Recht op gegevenwissing (art. 17)
• Recht op beperking van de verwerking (art. 18)
Kennisgevingsplicht (16 t/m 18)
• Recht op overdraagbaarheid gegevens (art. 20)
• Recht van bezwaar (art. 21)
• Recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming, waaronder profilering
Rechten kunnen worden beperkt (nationale/openbare veiligheid, strafrechtelijke vervolging enz.)
Rechten individuele werknemers II
• Procedure bij rechtbank, tav beslissing rechten of niet naleving verordening (ook schadevergoeding)
• Verzoek bemiddelen/adviseren AP
• Hogere boetes in Verordening: AP kan een bestuurlijke boete opleggen tot € 20.000.000,-of 4% wereldwijde omzet
Adviesrecht I
• Artikel 25 WOR• 25 lid 1 sub k WOR: adviesrecht over voorgenomen besluit tot
invoering of wijziging van een belangrijke technologische voorziening
• Voorgenomen besluit over adviesplichtig onderwerp wordt schriftelijk aan de OR voorgelegd
• Tijdstip: advies moet van wezenlijke invloed kunnen zijn• Inhoud:
– Beweegredenen– Te verwachten personele gevolgen– Ondervanging personele gevolgen
• OR brengt advies uit
Instemmingsrecht I
• Instemmingsrecht artikel 27 WOR
– een regeling omtrent het verwerken van alsmede de bescherming van persoonsgegevens van de in de onderneming werkzame personen
– een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarnemingen van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen
Mag een werkgever (verborgen) camera’s ophangen?
• In principe niet, tenzij noodzakelijk
• Gerechtvaardigd belang van werkgever ten opzichte van belang werknemer
• Let op rol ondernemingsraad
• Camera’s Media Markt die gebruikt worden voor beoordeling werknemers
• “Mystery shoppers” bij Media Markt
Mag een werkgever aan een zieke werknemer vragen wat hij
mankeert, wanneer hij weer komt werken of er een aanpassing nodig
is aan zijn werkplek?
• Gegevens omtrent gezondheid = bijzondere persoonsgegevens
• Verbod op verwerking
• Niet informeren naar aard en oorzaak ziekte
• Wel vragen wanneer werknemer weer komt werken
• Aanpassing werkplek nodig, mag werkgever ook vragen in kader verplichtingen re-integratie
Mag een werkgever een werknemer een wearable (fitbit
o.i.d.) cadeau geven, waarmee de beweging van de werknemer in
kaart wordt gebracht?
• Inzicht in beweging en slaappatroon zeggen iets over gezondheid bijzondere persoonsgegevens
• Cadeau geven mag
• Werkgever mag geen inzage in gezondheidsgegevens
• Werkgever ma werknemer niet dwingen om gegevens te delen met collega’s of leverancier
Mag een werkgever een trackingsysteem plaatsen in mijn
auto?
• Gerechtvaardigd belang van werkgever ten opzichte van werknemer
• Privétijd?
• Informeren werknemer
• Positie OR
Mag de OR privé-emailadressen gebruiken van werknemers voor het
houden van digitale OR-verkiezingen?
• Voor welk doel is het privé emailadres verkregen
• Verenigbaar met dit doel?
• Toestemming werknemer
• Verstrekken gegevens aan vakbond?
Moeten (mogen) de gegevens van werknemers aan de vakbonden
worden verstrekt voor de aankomende OR-verkiezingen?
• Geen verplichting in WOR of Wbp
• Prevaleert belang vakbond boven het privacybelang van werknemer?
• Minst verstrekkende optie vs niet mogen registeren of een werknemer lid is van een vakbond
Tips
• Website Autoriteit Persoonsgegevens
• Checklist voor ondernemingsraden: https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacy-checklist-voor-de-ondernemingsraad
• Voor de leuk: https://www.youtube.com/watch?v=wbAFAqbDyjQ
Vragen?
BEDANKTDr. mr. Steven Jellinghaus
Prof. Cobbenhagenlaan 75
5037 DB Tilburg
Tel: 013-46688884
E-mail: s.jellinghaus@devoort.nl
Volg de sectie MZ ook op twitter @MZ_DeVoort
en op LinkedIn via de pagina
Medezeggenschapsrecht De Voort Advocaten
De Voort Advocaten | MediatorsJuridische ondersteuning door adviseren, bemiddelen en procederen
We blinken uit in verschillende rechtsgebieden:
- Vastgoed en overheden
- Ondernemingsrecht
- Insolventierecht
- Arbeidsrecht
- Personen- en familierecht
- Medezeggenschapsrecht
- Zorgrecht en sportrecht
- Mediation