To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-
> 1. De verwerking van persoonsgegevens in het kader van uw personeelsbeheer

Heeft de werkgever de plicht om een register van verwerkingsactiviteiten of dataregister bij te houden voor de verwerking van persoonsgegevens?

Wie moet een dataregister bijhouden?

De GDPR verplicht de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en de verwerkers om een interne documentatie bij te houden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid worden verricht[1]. Dit is het register van verwerkingsactiviteiten of het dataregister.

Deze verplichting vervangt de vroegere aangifte bij de Commissie voor bescherming van de persoonlijke levenssfeer[2].

Bijna elke onderneming moet dataregister bijhouden

Ondernemingen met meer dan 250 personen in dienst moeten sowieso een dataregister bijhouden. Kleinere ondernemingen moeten slechts een register bijhouden indien:

  1. de onderneming bijzondere categorieën van gegevens of gegevens over strafrechtelijke veroordelingen en strafbare feiten verwerkt; OF
  2. de onderneming een riskante verwerking doorvoert waarin er een risico kan schuilen voor de rechten en vrijheden van de betrokkenen; OF
  3. de verwerking regelmatig is.

Deze laatste uitzondering zorgt ervoor dat bijna alle werkgevers toch een dataregister zullen moeten bijhouden, aangezien personeelsbeheer volgens de Gegevensbeschermingsautoriteit een regelmatige verwerking is.

Tenslotte raadt de Gegevensbeschermingsautoriteit aan om steeds een dataregister bij te houden, zelfs al zou het niet verplicht zijn. 

Op de website van de Gegevensbeschermingsautoriteit vindt u hierover meer informatie en ook een schema van wie een register moet bijhouden.

Wat staat er in het dataregister?

Dit dataregister geeft een overzicht van de persoonsgegevensverwerkingen die in de onderneming verricht worden en dient als verantwoordingsdocument voor de verwerkingen inzake persoonsgegevens van de onderneming.

Het register moet schriftelijk (of elektronisch), helder en begrijpelijk zijn en bevat volgende gegevens:

  • Wie? De naam en contactgegevens van de verwerkingsverantwoordelijke, en van eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van zijn vertegenwoordiger en van de functionaris voor gegevensbescherming;
  • Waarom? De verwerkingsdoeleinden;
  • Wat? Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • Waar? De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomend geval, de documenten inzake de passende waarborgen;
  • Tot wanneer? Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • Hoe? Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

In dit dataregister staan er dus ook andere verwerkingen dan administratie van het personeel en de tussenpersonen en beheer van het personeel en de tussenpersonen en werkplanning, zoals klantenbeheer, leveranciersbeheer, camerabewaking, …

U kan een gratis dataregister bekomen bij de Gegevensbeschermingsautoriteit.

Sanctie op het niet-bijhouden van een dataregister

Een schending van deze verplichting kan aanleiding geven tot een administratieve geldboete tot 10.000.000 euro of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is[3].

Bovendien kan de toezichthoudende autoriteit al haar bevoegdheden uitoefenen ten aanzien van de verwerkingsverantwoordelijke en de verwerker als zij hun verplichting om een register te houden niet nakomen[4].

 


[1] Artikel 30 GDPR.

[2] Vanaf 25 mei 2018 is deze Commissie vervangen door de Gegevensbeschermingsautoriteit.

[3] Artikel 83.4 GDPR.

[4] Artikel 58 GDPR.

Securex Sociaal Secretariaat - Legal 05/25/2018