Privacy op de werkvloer

Klantendag OR Ondersteuning

Dr. mr. Steven Jellinghaus

Eindhoven, 9 maart 2018

De magische datum: 25-5-18

• Algemene Verordening Gegevensbescherming (AVG / Privacyverordening)

• Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)

• Artikel 88 AVG: specifieke landelijke privacyregels voor arbeidsverhouding

AVG: het toepassingsgebied

• Van toepassing op geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen

• Artikel 2 lid 1 AVG

Voorbeelden verwerking persoonsgegevens door werkgever

- Naam werknemer - Opleidingen

- Geboortedatum - Aanwezigheid

- Salaris/Benefits - Ziekteverzuim

- Beelden bewakingscamera - Foto op badge

Basisbeginselen verwerking I

• Behoorlijk, transparant en zorgvuldig verwerken van persoonsgegevens

• Persoonsgegevens alleen verwerken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden

• Niet verder verwerken op een niet met die doeleinden onverenigbare wijze- Gegevens salarisadministratie voor marketing?- Gegevens salarisadministratie voor toezenden nieuwe gedragscode?

Basisbeginselen verwerking II

• Minimale gegevensverwerking

• Juistheid

• Opslagbeperking

• Integriteit en vertrouwelijkheid

Grondslagen verwerking

• Toestemming

• Noodzakelijk voor uitvoering (arbeids)overeenkomst

• Noodzakelijk om wettelijke verplichting na te komen

• Noodzakelijk om vitale belangen te beschermen

• Noodzakelijk voor vervulling taak algemeen belang/uitoefening openbaar gezag

Grondslagen verwerking III

• Noodzakelijk voor behartiging gerechtvaardigde belang werkgever of een derde, behalve wanneer belangen of grondrechten en de fundamentele vrijheden van werknemer, zwaarder wegen dan die belangen tenzij privacy recht werknemer prevaleert (belangenafweging)

– Geldt niet voor verwerking door overheidsinstanties in het kader van de uitoefening van hun taken

Bijzondere persoonsgegevens I

• Hoofdregel: geen verwerking van bijzondere persoonsgegevens is toegestaan, tenzij.. strikte uitzonderingsgrond van toepassing. (art. 9 Verordening, hoofdstuk 3 Uitvoeringswet)

• Religieuze of levensbeschouwelijke overtuigingen

• Ras of etnische afkomst

• Politieke opvattingen

• Gezondheid, genetische gegevens en biometrische gegevens met het oog op de unieke identificatie van een persoon

• Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

• Lidmaatschap vakbond

• Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen

Bijzondere persoonsgegevens II

• Voorbeelden verbod op verwerking niet van toepassing, indien:• Uitdrukkelijke toestemming van betrokkene• Verwerking noodzakelijk voor de uitvoering van verplichtingen

en rechten op het gebied van arbeidsrecht/sociale zekerheidsrecht

• Verwerking noodzakelijk ter bescherming van de vitale belangen van de betrokkene

• De persoonsgegevens door de betrokkene openbaar zijn gemaakt

• Verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering

• Verwerking noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht (..) (aan voorwaarden verbonden)

Bijzondere persoonsgegevens III

• Verwerking noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg, of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en –diensten of sociale stelsels en diensten (mits beroepsgeheim)

• Verwerking noodzakelijk om redenen van algemeen belang op het gebied van volksgezondheid

• Verwerking noodzakelijk voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek

Functionaris voor gegevensbescherming

• Eisen aan F-G:

– Professionele kwaliteiten en deskundigheid

– Vermogen taken uit te oefenen:

• Informeren en adviseren over privacyrecht

• Toezien op naleving privacyrecht en eigen interne beleid, inclusief bewustwording en opleiding

• Toezien op gegevensbeschermingseffectbeoordeling;

• Samenwerken met toezichthouder

• Contactpersoon voor toezichthouders

– Mag een externe partij zijn

Functionaris voor gegevensbescherming III

• Positie

– Moet tijdig worden betrokken bij verwerkingen;

– Toegang tot persoonsgegevens en verwerkingen;

– Beschikken over de nodige middelen voor uitvoering taak en op peil houden deskundigheid;

– Onafhankelijk;

– Rapporteert rechtstreeks aan de hoogste leidinggevenden;

– Verplicht tot geheimhouding;

– Mag ook andere werkzaamheden verrichten, mits dat niet leidt tot een belangenconflict

Meldplicht datalekken

• Per 1 januari 2016: melden ernstige datalekken (inbreuk op beveiliging van persoonsgegevens)

• Zowel private als publieke sector

• Datalek = toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie

• Voorbeelden: kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker beleidsregels datalekken: wanneer wel en niet melden?

Verwerkersovereenkomst

• Verwerkersverantwoordelijke verwerker

• Overeenkomst verplicht te noemen, o.a.:

– Onderwerp, duur, aard en doel, welke persoonsgegevens, doorgifte aan andere landen, waarborgen verwerking en veiligheid, passende technische en organisatorische maatregelen, toegang en inspecties

– Ketenbeding van deze verplichtingen

Rechten individuele werknemers

• Recht van Inzage + kopie (art. 15)

• Recht op rectificatie (art. 16)

• Recht op gegevenwissing (art. 17)

• Recht op beperking van de verwerking (art. 18)

Kennisgevingsplicht (16 t/m 18)

• Recht op overdraagbaarheid gegevens (art. 20)

• Recht van bezwaar (art. 21)

• Recht om niet onderworpen te worden aan geautomatiseerde individuele besluitvorming, waaronder profilering

Rechten kunnen worden beperkt (nationale/openbare veiligheid, strafrechtelijke vervolging enz.)

Rechten individuele werknemers II

• Procedure bij rechtbank, tav beslissing rechten of niet naleving verordening (ook schadevergoeding)

• Verzoek bemiddelen/adviseren AP

• Hogere boetes in Verordening: AP kan een bestuurlijke boete opleggen tot € 20.000.000,-of 4% wereldwijde omzet

Adviesrecht I

• Artikel 25 WOR• 25 lid 1 sub k WOR: adviesrecht over voorgenomen besluit tot

invoering of wijziging van een belangrijke technologische voorziening

• Voorgenomen besluit over adviesplichtig onderwerp wordt schriftelijk aan de OR voorgelegd

• Tijdstip: advies moet van wezenlijke invloed kunnen zijn• Inhoud:

– Beweegredenen– Te verwachten personele gevolgen– Ondervanging personele gevolgen

• OR brengt advies uit

Instemmingsrecht I

• Instemmingsrecht artikel 27 WOR

– een regeling omtrent het verwerken van alsmede de bescherming van persoonsgegevens van de in de onderneming werkzame personen

– een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarnemingen van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen

Mag een werkgever (verborgen) camera’s ophangen?

• In principe niet, tenzij noodzakelijk

• Gerechtvaardigd belang van werkgever ten opzichte van belang werknemer

• Let op rol ondernemingsraad

• Camera’s Media Markt die gebruikt worden voor beoordeling werknemers

• “Mystery shoppers” bij Media Markt

Mag een werkgever aan een zieke werknemer vragen wat hij

mankeert, wanneer hij weer komt werken of er een aanpassing nodig

is aan zijn werkplek?

• Gegevens omtrent gezondheid = bijzondere persoonsgegevens

• Verbod op verwerking

• Niet informeren naar aard en oorzaak ziekte

• Wel vragen wanneer werknemer weer komt werken

• Aanpassing werkplek nodig, mag werkgever ook vragen in kader verplichtingen re-integratie

Mag een werkgever een werknemer een wearable (fitbit

o.i.d.) cadeau geven, waarmee de beweging van de werknemer in

kaart wordt gebracht?

• Inzicht in beweging en slaappatroon zeggen iets over gezondheid bijzondere persoonsgegevens

• Cadeau geven mag

• Werkgever mag geen inzage in gezondheidsgegevens

• Werkgever ma werknemer niet dwingen om gegevens te delen met collega’s of leverancier

Mag een werkgever een trackingsysteem plaatsen in mijn

auto?

• Gerechtvaardigd belang van werkgever ten opzichte van werknemer

• Privétijd?

• Informeren werknemer

• Positie OR

Mag de OR privé-emailadressen gebruiken van werknemers voor het

houden van digitale OR-verkiezingen?

• Voor welk doel is het privé emailadres verkregen

• Verenigbaar met dit doel?

• Toestemming werknemer

• Verstrekken gegevens aan vakbond?

Moeten (mogen) de gegevens van werknemers aan de vakbonden

worden verstrekt voor de aankomende OR-verkiezingen?

• Geen verplichting in WOR of Wbp

• Prevaleert belang vakbond boven het privacybelang van werknemer?

• Minst verstrekkende optie vs niet mogen registeren of een werknemer lid is van een vakbond

Tips

• Website Autoriteit Persoonsgegevens

• Checklist voor ondernemingsraden: https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacy-checklist-voor-de-ondernemingsraad

• Voor de leuk: https://www.youtube.com/watch?v=wbAFAqbDyjQ

Vragen?

BEDANKTDr. mr. Steven Jellinghaus

Prof. Cobbenhagenlaan 75

5037 DB Tilburg

Tel: 013-46688884

E-mail: s.jellinghaus@devoort.nl

Volg de sectie MZ ook op twitter @MZ_DeVoort

en op LinkedIn via de pagina

Medezeggenschapsrecht De Voort Advocaten

De Voort Advocaten | MediatorsJuridische ondersteuning door adviseren, bemiddelen en procederen

We blinken uit in verschillende rechtsgebieden:

- Vastgoed en overheden

- Ondernemingsrecht

- Insolventierecht

- Arbeidsrecht

- Personen- en familierecht

- Medezeggenschapsrecht

- Zorgrecht en sportrecht

- Mediation