E.E.S.V. Securex Corporate
Maatschappelijke zetel: Tervurenlaan 43, 1040 Brussel
Ondernemingsnummer: BTW BE 0877.510.104 - RPR Brussel

Privacy

1. De verwerking van persoonsgegevens in het kader van uw personeelsbeheer

Inleiding

In België kenden we reeds een strenge privacybescherming waarmee werkgevers rekening moesten houden: het recht op eerbieding van het privéleven, erkend door artikel 8, 1° van het EVRM[1] en door artikel 22 van de Grondwet, moet gewaarborgd worden gedurende de ganse duur van de arbeidsovereenkomst en niet enkel op het moment van de aanwerving en het ontslag.

Op 4 mei 2016 is bovendien de Europese verordening 2016/679 (“General Data Protection Regulation”, hierna GDPR) verschenen[2]. Deze verordening is sinds 25 mei 2018 rechtstreeks van toepassing binnen heel Europa, en dus ook in België. Deze verordening is ook van toepassing op de arbeidsrelatie[3].

De context van de arbeidsrelaties is echter een specifieke context voor de toepassing van de bescherming van persoonsgegevens. Hier botsen immers twee principes op elkaar:

Hoewel de GDPR de regelgeving inzake de bescherming van persoonsgegevens wenst te harmoniseren in heel Europa[4], voorziet het juist omwille van bovenstaande reden in een uitzondering voor de context van de arbeidsrelaties. Lidstaten of collectieve arbeidsovereenkomsten mogen op sectoraal of ondernemingsniveau specifieke regels opleggen over de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhoudingen. Het gaat, meer bepaald, om de voorwaarden waarin de persoonsgegevens in het kader van de arbeidsverhoudingen verwerkt mogen worden met het oog op:

Voor meer duidelijkheid is dit dossier over de privacy in het kader van de arbeidsrelatie opgesplitst in 9 delen:

Het eerste deel behandelt de plichten van de werkgever wanneer hij persoonsgegevens verwerkt in het kader van zijn personeelsbeheer.

 


[1] Europees verdrag voor de rechten van de mens en de fundamentele vrijheden.

[2] Verordening van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens: http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32 016R0679&from=EN

[3] Aangezien de werkgever én de Belgische wetgever vanaf 25 mei 2018 de GDPR moeten naleven, zal de Belgische regelgeving vervangen worden door een kaderwet.

[4] Zo is er een 'Working Group 29', een onafhankelijke Europese advies -en overlegorgaan dat is samengesteld uit de nationale toezichthouders en de uniforme toepassing van Europese privacywetgeving binnen de lidstaten wil bevorderen door bijvoorbeeld aanbevelingen over het interpreteren van bepaalde verplichtingen van de verwerkingsverantwoordelijke.

Op welke persoonsgegevens heeft de GDPR betrekking?

Wat is een persoonsgegeven?

Direct of indirect identificeren van een persoon

Wordt onder "persoonsgegevens" verstaan, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Als voorbeeld binnen de arbeidsrelatie kunnen we de volgende gegevens vermelden: naam, voornaam, personeelsnummer, adres, loon, rekeningnummer, sociale status, e-mailadres, rijksregisternummer, een foto, een vingerafdruk, een persoonlijk of professioneel telefoonnummer, …

Gevoelige persoonsgegevens

Het is in principe verboden om gevoelige persoonsgegevens te verwerken. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, alsook de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid of met betrekking tot iemands seksueel gedrag of seksuele geaardheid.

Deze gegevens mogen echter wel verwerkt worden als:

Zo moet de werkgever op de hoogte zijn van het feit dat één van zijn werknemers een vakbondsafgevaardigde is om rekening te houden met de ontslagbescherming die deze geniet.

Conclusie: In het kader van de arbeidsrelatie is het dus soms toegelaten om dergelijke gegevens te verwerken, maar dan wel met de nodige voorzichtigheid.

Twee verschillende verwerkingen binnen de arbeidsrelatie

 

Een werkgever verricht voornamelijk volgende concrete verwerkingen van zijn werknemers: 1) administratie van personeel en lonen, 2) personeelsbeheer en werkplanning en 3) controle op de werkplaats.

In de meeste ondernemingen zijn beide verwerkingen een geïntegreerd geheel. Het informaticapakket en de personeelsdossiers bevatten persoonsgegevens die zowel de loon- als de personeelsadministratie aanbelangen.  Ze hoeven ook niet gescheiden te worden in de praktijk, maar krijgen wel een aparte vermelding in het dataregister.

Persoonsgegevens in het kader van de administratie van personeel en lonen

Het gaat over de persoonsgegevens die voorgeschreven zijn door de wetten, reglementen en onderrichtingen op regionaal, federaal en internationaal vlak inzake het arbeidsrecht, de sociale zekerheid, de fiscale wetgeving, met inbegrip van collectieve en individuele arbeidsovereenkomsten en arbeidsreglementen.

Het betreft de administratie van de lonen, vergoedingen en commissies.

De werkgever is in dit geval de verwerkingsverantwoordelijke. Securex wordt als sociaal secretariaat als voornaamste verwerker van de loonadministratie beschouwd.

Persoonsgegevens in het kader van personeelsbeheer en werkplanning

Het gaat om de persoonsgegevens die binnen de onderneming verwerkt worden en die niet rechtstreeks uit wettelijke, reglementaire of conventionele bepalingen inzake tewerkstelling voortvloeien en dus niet in de verwerking “loonadministratie” ondergebracht mogen worden.

Het betreft in het bijzonder gegevens omtrent selectie, aanwerving, opleiding, vorming, sociale voordelen, arbeidsorganisatie, loopbaanplanning, beoordelingen en evaluaties, enz.

De gegevens die in de onderneming op het niveau van uw personeelsadministratie geregistreerd worden, worden niet door Securex verwerkt aangezien zij normaal buiten de opdrachten van een sociaal secretariaat vallen. Securex is dus geen verwerker van de personeelsadministratie. De werkgever is hier wel nog steeds de verwerkingsverantwoordelijke.

Persoonsgegevens in het kader van controle op de werkplaats

Het gaat om de persoonsgegevens die verwerkt werden in het kader van de controle van de professionele activiteit op de werkplaats via camera of informaticasystemen zoals controle van e-mails, internetgebruik, telefoon,…

 


[1] De toestemming van de werknemer heeft binnen een arbeidsrelatie sowieso een precaire positie omwille van de gezagsverhouding tussen werkgever en werknemer.

Heeft de werkgever de plicht om een register van verwerkingsactiviteiten of dataregister bij te houden voor de verwerking van persoonsgegevens?

Wie moet een dataregister bijhouden?

De GDPR verplicht de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en de verwerkers om een interne documentatie bij te houden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid worden verricht[1]. Dit is het register van verwerkingsactiviteiten of het dataregister.

Deze verplichting vervangt de vroegere aangifte bij de Commissie voor bescherming van de persoonlijke levenssfeer[2].

Bijna elke onderneming moet dataregister bijhouden

Ondernemingen met meer dan 250 personen in dienst moeten sowieso een dataregister bijhouden. Kleinere ondernemingen moeten slechts een register bijhouden indien:

  1. de onderneming bijzondere categorieën van gegevens of gegevens over strafrechtelijke veroordelingen en strafbare feiten verwerkt; OF
  2. de onderneming een riskante verwerking doorvoert waarin er een risico kan schuilen voor de rechten en vrijheden van de betrokkenen; OF
  3. de verwerking regelmatig is.

Deze laatste uitzondering zorgt ervoor dat bijna alle werkgevers toch een dataregister zullen moeten bijhouden, aangezien personeelsbeheer volgens de Gegevensbeschermingsautoriteit een regelmatige verwerking is.

Tenslotte raadt de Gegevensbeschermingsautoriteit aan om steeds een dataregister bij te houden, zelfs al zou het niet verplicht zijn. 

Op de website van de Gegevensbeschermingsautoriteit vindt u hierover meer informatie en ook een schema van wie een register moet bijhouden.

Wat staat er in het dataregister?

Dit dataregister geeft een overzicht van de persoonsgegevensverwerkingen die in de onderneming verricht worden en dient als verantwoordingsdocument voor de verwerkingen inzake persoonsgegevens van de onderneming.

Het register moet schriftelijk (of elektronisch), helder en begrijpelijk zijn en bevat volgende gegevens:

In dit dataregister staan er dus ook andere verwerkingen dan administratie van het personeel en de tussenpersonen en beheer van het personeel en de tussenpersonen en werkplanning, zoals klantenbeheer, leveranciersbeheer, camerabewaking, …

U kan een gratis dataregister bekomen bij de Gegevensbeschermingsautoriteit.

Sanctie op het niet-bijhouden van een dataregister

Een schending van deze verplichting kan aanleiding geven tot een administratieve geldboete tot 10.000.000 euro of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is[3].

Bovendien kan de toezichthoudende autoriteit al haar bevoegdheden uitoefenen ten aanzien van de verwerkingsverantwoordelijke en de verwerker als zij hun verplichting om een register te houden niet nakomen[4].

 


[1] Artikel 30 GDPR.

[2] Vanaf 25 mei 2018 is deze Commissie vervangen door de Gegevensbeschermingsautoriteit.

[3] Artikel 83.4 GDPR.

[4] Artikel 58 GDPR.

Wat houdt de informatieplicht tegenover de werknemers in?

GDPR breidt informatieplicht verder uit

Hoewel de informatieverplichting reeds bestond, is deze onder de GDPR verder uitgebreid.

De informatieverplichting hield immers in dat de werknemer op wie de persoonsgegevens betrekking hebben, ten laatste op het moment waarop deze gegevens verkregen zijn, over de nodige inlichtingen beschikt omtrent[1]

De GDPR verplicht de werkgever echter ook volgende informatie aan de werknemer te bezorgen:

Over welke rechten moet de werknemer geïnformeerd worden?

De werknemer heeft verschillende rechten ten opzichte van de verwerking van zijn persoonsgegevens waarover de werkgever hem moet infomeren.

Het recht van inzage en kopie houdt voor de betrokken persoon in dat wanneer hij dit vraagt, de verantwoordelijke al dan niet bevestigt dat zijn persoonsgegevens verwerkt worden, en hem inzage geeft in de gegevens die de werkgever over de werknemer verwerkt, waarom hij dit doet, waar hij de gegevens heeft gehaald (indien ze niet door de werknemer zelfs zijn gegeven), wie de gegevens ontvangt, hoe lang hij deze gegevens wenst te bewaren, of deze gegevens gebruikt worden om aan automatische besluitvorming te doen en zo ja, meer informatie hierover, of hij van plan is om de gegevens naar een land buiten Europa te versturen en meer informatie over de rechten van de werknemer tot zijn persoonsgegevens. De werknemer kan bovendien kosteloos ook een kopie van deze persoonsgegevens vragen.

De werknemer heeft bovendien het recht om de verbetering te bekomen van alle onjuiste persoonsgegevens die op hem betrekking hebben. Hij kan eveneens vragen om elk persoonsgegeven te verwijderen dat niet pertinent of dat onjuist is, waarvan de mededeling of de bewaring verboden is of dat langer dan nodig bewaard werd en hij kan het gebruik van die persoonsgegevens verbieden[4]. De werkgever kan dan slechts weigeren en toch de persoonsgegevens verder verwerken met het oog op een rechtsvordering met bv. een ex-werknemer.

De reglementering voorziet eveneens in een recht van bezwaar voor de betrokken persoon. De werkgever moet dan de verwerking staken, tenzij hij een gegronde reden heeft of met het oog op een rechtsvordering. Dit recht vindt geen toepassing wanneer de verwerking van de persoonsgegevens gebaseerd is op dwingende gerechtvaardigde gronden die zwaarder wegen dan de belangen, rechten en vrijheden van de werknemer. Zo kan het recht van bezwaar niet uitgeoefend worden als de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een contract waarbij de betrokken persoon partij is (bijvoorbeeld een arbeidsovereenkomst) of wanneer de verwerking voortvloeit uit de naleving van een verplichting waar de verantwoordelijke van de verwerking aan onderworpen is (bijvoorbeeld de betaling van socialezekerheidsbijdragen).

De werknemer beschikt ook over een recht op beperking van de verwerking. Deze beperking wordt aangeduid in het dossier. De werkgever zal dan slechts persoonsgegevens van de betrokken werknemer mogen verwerken, als deze zijn toestemming geeft, met het oog op een rechtsvordering of ter bescherming van de rechten van anderen.

Tenslotte heeft de werknemer het recht om niet onderworpen te worden aan een besluit dat uitsluitend gebaseerd is op een geautomatiseerde gegevensverwerking bv. sollicitaties via het internet zonder menselijke tussenkomst. Slechts als het noodzakelijk is voor de overeenkomst, het toegelaten is door nationale regelgeving of als de persoon uitdrukkelijk zijn toestemming geeft, mag dit wel wanneer er passende maatregelen genomen worden. 

Wanneer moet de werknemer worden geïnformeerd?

Wanneer de werkgever de persoonsgegevens bij de werknemer zelf verzamelt, dan moet hij de werknemer bovenstaande informatie ten laatste op het ogenblik dat hij deze informatie verkrijgt, bezorgen. De informatie moet niet meer gegeven worden als de werknemer dit reeds wist.

Wanneer de werkgever de persoonsgegevens elders verzamelt en niet bij de werknemer zelf, dan moet hij de informatie ook aan de werknemer bezorgen, tenzij:

Het is dan ook aangeraden om de werknemer bij het begin van de arbeidsovereenkomst te informeren over de verwerking van zijn persoonsgegevens en zijn rechten hieromtrent.

Hoe moet de werknemer geïnformeerd worden?

Vorm en toegankelijkheid

De plicht tot informeren over de verwerking is niet gebonden aan vormvoorwaarden. Toch raadt de Working Group 29 aan om de kennisgeving schriftelijk te doen. Deze schriftelijke kennisgeving is echter niet gebonden aan vormvoorwaarden, dus er mag rekening gehouden worden met alle concrete omstandigheden.

De Working Group 29 raadt een “gelaagde kennisgeving” aan. Het eerste wat immers onder de aandacht moet worden gebracht zijn de details over de verwerkingsdoeleinden, de identiteit van de verwerkingsverantwoordelijke en de beschrijving van de rechten van de betrokkene, en informatie die de grootste impact op de werknemer of sollicitant zal hebben.

De werkgever moet zich kunnen verantwoorden en dus bewijzen dat de werknemers concreet en juist geïnformeerd zijn. Hoe de werkgever dit doet, is van weinig belang. Hij moet er wel voor zorgen dat de niet zelf moet zoeken naar de informatie, maar die hem op actieve wijze bezorgd wordt of minstens actief onder zijn aandacht gebracht wordt (bv. met filmpje, mail, informatieve sessie,…)

In het kader van de arbeidsrelatie zijn er dus verschillende mogelijkheden:

Bovendien kan de kennisgeving steeds aangepast worden aan nieuwe situaties, dus het is aangeraden om een flexibel document of een flexibele manier van werken te hanteren.

Taalgebruik en opmaak

Een lange onduidelijke tekst is af te raden. De Working Group 29 spreekt van een gestructureerd document (bv. inhoudstafel, tussentitels, sjablonen, …). De gebruikte taal moet helder en begrijpelijk zijn en dus aangepast aan het doelpubliek. Het worden bijvoorbeeld afgeraden om in vage bewoording te spreken of in voorwaardelijke zin, zoals “deze informatie zou kunnen gebruikt worden om”.

Oplossing: privacy policy of clausule

Met al deze voorwaarden en verplichtingen werd rekening gehouden in het model van privacy policy voor werknemers dat Securex voor u heeft opgemaakt. U kan dit bij uw Legal Advisor bekomen (tegen betaling) of via de e-shop. Securex heeft bovendien een informatieclausule opgenomen in de werknemersfiches die door de werknemers ondertekend en gedeeltelijk ingevuld moeten worden.

Het is eveneens vereist om kandidaat-werknemers hierover te informeren wanneer zij hun kandidatuur bij de onderneming indienen. Om aan deze verplichting te voldoen, is het bijvoorbeeld mogelijk om een specifieke clausule op te nemen in de vragenlijsten of formulieren die bij de sollicitatiegesprekken gebruikt worden. Uw Legal Advisor kan u helpen om zulke clausules inzake het privéleven op te stellen.

 


[1] De Working Group 29 heeft een aanbeveling geschreven over de transparantie in het kader van bescherming van persoonsgegevens. Deze Working Group 29 is een onafhankelijke Europese advies -en overlegorgaan dat is samengesteld uit de nationale toezichthouders. Het doel van WP29 is om de uniforme toepassing van Europese privacywetgeving binnen de lidstaten te bevorderen.

[2] Een ‘ontvanger’ moet volgens de Working Group 29 geen derde partij zijn. Bovendien is het aangeraden dat deze ontvanger bij naam genoemd wordt of als categorie zo specifiek mogelijk omschreven wordt; zodat de betrokkene weet wie zijn persoonsgegevens in zijn bezit kan hebben.

[3] Deze periode moet concreet genoeg omschreven worden. De Working Group 29 stelt dat het niet voldoende is om te stellen dat de gegevens niet langer bewaard zullen worden dan noodzakelijk. Hiermee gaat de Working Group 29 in tegen een eerder standpunt van de Belgische Privacy Commissie, de voorloper van de Gegevensbeschermingsautoriteit.

[4] In het kader van de arbeidsrelatie kunnen zich bijvoorbeeld volgende gevallen voordoen: de doeleinden waarvoor ze zijn verzameld of verwerkt zijn weggevallen; de toestemming waarop de verwerking is gebaseerd, is ingetrokken; de werknemer maakt om gegronde redenen bezwaar tegen de verwerking; de rechtsgrond om te mogen verwerken ontbreekt.

Is de werkgever verplicht om een functionaris voor de gegevensbescherming (DPO) aan te stellen?

In drie situaties verplicht DPO aanstellen

Volgende ondernemingen zijn onder GDPR verplicht om een functionaris voor gegevensbescherming ('data protection officer', hierna DPO) aan te stellen:

Het aanstellen van een DPO heeft dus niet veel te maken met het al dan niet werkgever zijn, maar eerder met het soort verwerkingen dat de onderneming in zijn geheel uitoefent.

Indien het echter niet verplicht is om een DPO aan te wijzen, is het wel aangeraden om een contactpersoon voor gegevensbescherming te voorzien binnen de onderneming. Deze contactpersoon kan dan aangesproken worden bij het indienen van verzoeken om bepaalde rechten uit te oefenen, om kritisch advies te geven inzake gegevensbescherming, …

De vraag is hoe de Belgische wetgever deze functie verder zal invullen en beschermen. We houden u hiervan op de hoogte.

Taken en positie van de DPO

De DPO moet als contactpunt optreden naar de Gegevensbeschermingsautoriteit[1], toezien op de naleving van de principes van de GDPR en adviseren over de te nemen maatregelen in het kader van de GDPR. Zo zal hij dus over de nodige professionele kennis moeten beschikken rond gegevensbescherming

Bovendien moet de DPO zijn taken en verplichtingen onafhankelijk kunnen vervullen. Dit wordt in concreto beoordeeld. Zo komt de onafhankelijkheid van de DPO in het gedrang indien hij tot de directie van de onderneming zou behoren. Om die onafhankelijkheid te kunnen waarborgen, zal de DPO dan ook genieten van een ontslagbescherming, zodat hij niet ontslagen kan worden om redenen die verband houden met de uitoefening van zijn functie.

Tenslotte kan de DPO zowel een werknemer zijn als een zelfstandige dienstverlener, zolang hij maar aan de voorwaarden voldoet en rapporteert aan het hoogste managementniveau.

 


[1] Zijn contactgegevens moeten dan ook meegedeeld worden aan de Gegevensbeschermingsautoriteit (Meer info vinden jullie op de website van de Gegevensbeschermingsautoriteit.

Wat houdt de verplichting tot betere beveiliging van persoonsgegevens in?

Privacy by design en privacy by default

Een onderneming moet passende organisatorische en technische maatregelen nemen om de verwerking van persoonsgegevens te beschermen.

Zo moet er bij de ontwikkeling van nieuwe systemen of de invoering ervan duidelijk nagedacht worden over de privacy en de bescherming van persoonsgegevens. Er dienen verschillende beveiligingsmaatregelen ingebouwd te worden. Dit wordt ook wel 'privacy by design' genoemd. In alle systemen en programma’s moet de standaardinstelling bovendien de hoogst mogelijke bescherming bieden, zodat privacy-vriendelijke instellingen de norm zijn. Dit wordt ook wel 'privacy by default' genoemd. 

Voorbeelden van gepaste technische en organisatorische maatregelen

De GDPR geeft enkele voorbeelden van beveiligingsmaatregelen:

De werkgever moet dan ook maatregelen treffen zodat werknemers of consultants die handelen onder zijn gezag en toegang hebben tot specifieke persoonsgegevens deze slechts verwerken in het kader van hun opdracht, tenzij Unierechtelijke of lidstaatrechtelijk anders bepaalt. In dit kader kan de werkgever een ICT-policy voorleggen aan zijn werknemers die de regels over het gebruik van persoonsgegevens, maar ook over de beveiliging van het systeem uiteenzet. Contacteer uw Legal advisor voor meer informatie hierover.

Wanneer moet de werkgever een gegevensbeschermingseffectbeoordeling uitvoeren?

Wat is een gegevensbeschermingseffectbeoordeling?

De GDPR verwacht van ondernemingen dat ze de beveiliging van persoonsgegevens op een weldoordachte en methodische manier aanpakken om dan tot gepaste technische en organisatorische maatregelen te komen ter beveiliging van de gegevens.

Bij het invoeren van een nieuwe technologie of bij een systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen verplicht de GDPR de onderneming om een gegevensbeschermingseffectbeoordeling (“Data protection impact assessment”, hierna DPIA) uit te voeren. Dit is een risicoanalyse die de verwerking van de persoonsgegevens beschrijft, de noodzaak en evenredigheid ervan beoordeelt en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen helpt te beheren door deze risico’s in te schatten. Zo kunnen de gepaste maatregelen ter beveiliging van deze gegevens bepaald worden.

Wanneer is een DPIA verplicht?

Wanneer de verwerking waarschijnlijk “een hoog risico” inhoudt voor de rechten en vrijheden

De Gegevensbeschermingsautoriteit stelt dat een waarschijnlijkheid van “een hoog risico” volstaat. Het overkoepelend Europees orgaan van toezichthoudende autoriteiten somt negen criteria op die een hoog risico aankondigen:

Rekening houdend met bovenstaande criteria zou er volgens de Gegevensbeschermingsautoriteit een DPIA moeten uitgevoerd worden van zodra er twee criteria vervuld zijn[1]. Als de werkgever van oordeel is dat er dan toch geen DPIA uitgevoerd moet worden, moet hij dit kunnen motiveren en documenteren.

Drie specifieke situaties vermeld in artikel 35(3) GDPR

In volgende drie situaties is het verplicht om een DPIA uit te voeren:

Lijsten van toezichthoudende overheid

Tenslotte is de toezichthoudende overheid bovendien verplicht om een lijst op te stellen waarvoor een DPIA noodzakelijk is. Deze lijst zou dan voorgaande situaties slechts aanvullen, maar niet vervangen.

De voorganger van de Gegevensbeschermingsautoriteit, de privacy commissie, heeft haar ontwerp van lijsten gepubliceerd in haar aanbeveling. Deze moeten echter nog goedgekeurd worden door de Gegevensbeschermingsautoriteit.

Verwerkingen waarvoor wel een DPIA uitgevoerd moet worden:

  • wanneer de verwerking gebruik maakt van biometrische gegevens met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privé-ruimten die toegankelijk zijn voor het publiek;
  • wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een welbepaalde dienstverleningsovereenkomst met een natuurlijke persoon te weigeren of stop te zetten;
  • wanneer de verwerking betrekking heeft op bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG betreft die (her)gebruikt worden voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld, behoudens wanneer de verwerking hetzij is gebaseerd is op de toestemming van de betrokkene, hetzij noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • wanneer de verwerking wordt verwezenlijkt met behulp van een implantaat en waarbij een inbreuk op persoonsgegevens de fysieke gezondheid van de betrokkene in het gedrang zou kunnen brengen;
  • ingeval van grootschalige verwerking van persoonsgegevens van kwetsbare natuurlijke personen, onder andere van kinderen, voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld;
  • wanneer er op grote schaal gegevens ingezameld worden bij derden teneinde de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of voorspellen;
  • wanneer er op systematische wijze bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG of gegevens van zeer persoonlijke aard (zoals gegevens over armoede, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens omtrent huishoudelijke en privé- activiteiten, locatiegegevens) worden uitgewisseld tussen meerdere verwerkingsverantwoordelijken;
  • wanneer er sprake is van een grootschalige verwerking van gegevens die gegeneerd worden door middel van toestellen met sensoren die via het internet of via een ander medium gegevens versturen (‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, etc.) die dient om de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of voorspellen;
  • wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst;
  • wanneer er sprake is van grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief voor advertentiedoeleinden.

Verwerkingen waarvoor geen DPIA uitgevoerd moet worden:

  • verwerkingen door private entiteiten die noodzakelijk zijn om te voldoen aan een wettelijke verplichting die op hen rusten, mits bij wet bepaald werd welke de doeleinden van de verwerking zijn, welke categorieën van persoonsgegevens verwerkt worden en wat de waarborgen zijn ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;
  • verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die loonadministratie, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking;
  • verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van het personeel in dienst van of werkzaam ten behoeve van de verantwoordelijke voor de verwerking, voor zover deze verwerking geen betrekking heeft op gegevens betreffende de gezondheid van de betrokken persoon, noch op bijzondere categorieën van gegevens in de zin van artikel 9 AVG, noch op strafrechtelijke veroordelingen en strafbare feiten in de zin van artikel 10 AVG of op gegevens die een beoordeling van de betrokken persoon tot doel hebben en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de personeelsadministratie en alleen in het kader van de toepassing van een wets- of verordeningsbepaling of indien nodig voor de verwezenlijking van de doelstellingen van de verwerking aan derden worden meegedeeld;
  • verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de boekhouding van de verantwoordelijke voor de verwerking wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding, de verwerking alleen betrekking heeft op personen van wie de gegevens noodzakelijk zijn voor de boekhouding en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking en de verwerkte persoonsgegevens alleen aan derden worden meegedeeld in het kader van de toepassing van een wets- of verordeningsbepaling of wanneer de mededeling noodzakelijk is voor de boekhouding;
  • verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie, die gegevens alleen personen betreffen van wie de gegevens nodig zijn voor die administratie, de gegevens alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en de persoonsgegevens niet langer worden bewaard dan nodig voor de doeleinden van de verwerking;
  • verwerkingen van persoonsgegevens verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten, voor zover de verwerking uitsluitend betrekking heeft op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling en er geen personen worden geregistreerd op grond van gegevens verkregen van derden en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld;
  • verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek en waarbij de verwerkte persoonsgegevens mogen uitsluitend worden gebruikt voor de toegangscontrole en niet langer worden bewaard dan nodig voor dat doel;
  • verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten in het kader van hun onderwijsopdrachten, voor zover de verwerking alleen betrekking heeft op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling en er geen personen worden geregistreerd op grond van gegevens verkregen van derden en alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student;
  • verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking, voor zover de verwerking alleen betrekking heeft op bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking en de verwerking geen betrekking heeft op bijzondere categorieën van gegevens in de zin van artikel 9 AVG, noch op strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG en er, wat de klantenadministratie betreft, geen gegevens afkomstig van derden worden geregistreerd en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de normale bedrijfsvoering van de verantwoordelijke voor de verwerking en mogen alleen in het kader van de toepassing van een wets- of verordeningsbepaling of voor de normale bedrijfsvoering aan derden worden meegedeeld.
Hoe ziet een DPIA eruit?

Voor meer informatie hierover verwijzen we u naar bijlage 1 van de aanbeveling van de gegevensbeschermingsautoriteit.

 


[1] Rekening houdend met de criteria zou het HR-departement van een grote onderneming met veel personeelsleden verschillende DPIA’s moeten uitvoeren voor verschillende processen door zijn hoog aantal werknemers.

Wanneer moet een gegevenslek in verband met persoonsgegevens gemeld worden?

Wat is een gegevenslek in verband met persoonsgegevens?

Een gegevenslek of inbreuk in verband met persoonsgegevens is een inbreuk op de beveiliging ervan die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Zo kan het verliezen van een usb-stick of de ongeoorloofde toegang tot persoonsgegevens onder de definitie van gegevenslek vallen. Ook wanneer de onderneming getroffen wordt door een cyberaanval waarbij de beveiliging van de persoonsgegevens van werknemers in het gedrang komt, is er sprake van een gegevenslek.

Bij inbreuken op persoonsgegevens van zijn werknemers moet de werkgever in principe bepaalde acties ondernemen.

Documenteren van alle datalekken

De werkgever moet tijdig op de hoogte kunnen zijn van de datalekken in zijn onderneming. Hij moet dan ook verschillende interne processen opzetten om incidenten te onderzoeken en vast te stellen of er een datalek was op de persoonsgegevens en of er actie moet ondernomen worden ten gevolge van het datalek.

De werkgever kan in het kader hiervan volgende acties ondernemen:

Opstellen van een intern beleid rond datalekken

De werkgever kan een intern beleid opstellen over hoe datalekken vastgesteld en aangepakt kunnen worden, aan wie van de onderneming ze meegedeeld moeten worden en binnen welke termijn, hoe het risico beoordeeld moet worden en wanneer ze gemeld gaan worden aan de toezichthoudende autoriteit of de werknemers. De werkgever kan hiervoor een data breach policy opstellen.

Documenteren van datalekken

De werkgever kan een document bijhouden waarin alle datalekken gedocumenteerd worden, zelfs al vormen de datalekken geen enkel risico. Op die manier kan een toezichthoudende autoriteit de naleving van de verplichting tot het melden van datalekken controleren.

Melden van gegevenslek aan de toezichthoudende autoriteit bij risico of groot risico voor rechten en vrijheden van werknemer[1]

In principe moet de werkgever zonder redelijke vertraging en binnen de 72u na de kennisname ervan, het gegevenslek melden aan de toezichthouder[2]. De werkgever moet op dat ogenblik voldoende informatie geven over de situatie waarin het lek zich heeft voorgedaan[3]

De werkgever moet het gegevenslek niet melden wanneer er geen risico is voor de rechten en vrijheden van de werknemers.

Onder risico of groot risico kunnen gegevenslekken vallen die kunnen resulteren in “ernstige lichamelijke, materiële of immateriële schade, met name:

Meedelen van gegevenslek aan werknemer bij groot risico voor rechten en vrijheden van werknemer[5]

Enkel wanneer het gegevenslek een groot risico (bv. medische gegevens) vormt voor de rechten en vrijheden van een natuurlijke persoon, moet de verwerkingsverantwoordelijke dit zo snel mogelijk meedelen aan de betrokkene. Hier geldt geen vaste termijn.

De werkgever moet duidelijk en eenvoudig het gegevenslek aan de werknemer omschrijven[6].

Er bestaan echter wel uitzonderingen op de mededelingsplicht aan de betrokkene. De mededeling aan de betrokkene is immers niet verplicht wanneer een van de volgende voorwaarden is vervuld:

Eventueel kan de toezichthoudende autoriteit de werkgever verplichten om de werknemer te verwittigen bij een groot risico voor de rechten en vrijheden van de werknemer.

Sancties op het niet-melden van het gegevenslek

Wanneer de inbreuk niet wordt gemeld of meegedeeld, kan een administratieve boete opgelegd worden van 10.000.000 euro of 2% van de wereldwijde jaaromzet, indien dat cijfer hoger is.

 


[1] Artikel 33 GDPR.

[2] Indien dit niet binnen de 72 uur kan, dan moet de melding gepaard gaan met een motivering van de vertraging.

[3] Zie artikel 33.3 GDPR voor de precieze omschrijving van wat er zeker in moet staan.

[4] Overweging 75 GDPR.

[5] Artikel 34 GDPR.

[6] Zie artikel 33.3 GDPR voor de precieze omschrijving van wat er zeker in moet staan.

Wat zijn de belangrijkste wettelijke referenties?