De General Data Protection Regulation (GDPR) voerde vier jaar geleden strenge bepalingen in rond het gebruik en de bescherming van persoonsgegevens. Om te zorgen dat de regels werden nageleefd, werd in België een nieuw controlemechanisme ingevoerd: de Gegevensbeschermingsautoriteit of kortweg GBA.
Lees alle details in ons dossier GDPR en privacy.
Naar aanloop van de invoering van de GDPR werden ondernemingen zich extra bewust van het belang van privacy en gegevensbeveiliging. De forse boetes die de GDPR voorzag, hadden daar zeker iets mee te maken. Ook burgers leerden hun privacyrechten en actiemiddelen beter kennen.
Is jouw personeelsbeleid na vier jaar nog altijd in lijn met de GDPR-regelgeving? Doe nu de zes checks die je hieronder vindt.
Zes GDPR checks voor jouw personeelsbeleid
Check 1. Informeer je jouw werknemers?
Jouw werknemers moeten weten welke persoonsgegevens je verwerkt en voor welke doeleinden. Informeer hen hier zeker over bij het begin van de arbeidsovereenkomst.
Securex stelt een privacypolicy ter beschikking om aan jouw informatieverplichting te voldoen.
Check 2. Informeer je jouw sollicitanten?
Ook sollicitanten moeten vooraf weten waarom je hun gegevens vraagt, wat je met deze gegevens doet (het doel of de reden) en hoelang je die data bijhoudt (bewaartermijn).
Die informatie geef je best meteen bij de start van de sollicitatieprocedure mee en het liefst schriftelijk.
Voor meer informatie over uw verplichtingen tijdens de aanwervingsprocedure, zie ons onderwerp Selectie en werving.
Check 3. Hoe lang houd je de data van ex-werknemers bij?
De wetgeving zegt nergens hoelang je de persoonsgegevens van ex-werknemers mag bijhouden. In de praktijk is een periode van vijf jaar na het einde van de arbeidsrelatie gebruikelijk.
Deze termijn komt overeen met de bewaartermijn van de meeste sociale documenten.
Check 4. Houd je een verwerkingsregister bij?
Elke onderneming, groot of klein, moet een verwerkingsregister bijhouden. Dat is een intern document met een samenvatting van welke soorten persoonsgegevens je verzamelt, voor welk doeleinden je dit doet en enkele andere verplichte vermeldingen. Het register bevat dus niet de persoonsgegevens zelf, maar geeft wel een overzicht van de gegevensverwerkingen in jouw onderneming.
Check 5. Is de camera op je werkvloer legaal?
Een camera op de werkvloer is enkel toegelaten als je bepaalde regels naleeft:
- Je kan het gebruik rechtvaardigen door een wettelijke doelstelling (legaliteit)
- De camerabewaking mag alleen als en in de mate dat dit noodzakelijk is om jouw doelstelling te bereiken (proportionaliteit)
- De personen die je filmt, moet je vooraf hierover geïnformeerd hebben (transparantie)
Check 6. Controleer je de e-mails van jouw werknemers?
Ook in een mailbox van het werk kunnen er privézaken binnensluipen. Als werkgever mag je zeker niet zomaar e-mails van werknemers controleren:
- Je moet jouw werknemers vooraf laten weten dat controle mogelijk is en op welke manier dat gebeurt
- Bij de controle moet je een gerechtvaardigd belang hebben
- De controle mag niet in strijd zijn met de privacyrechten van jouw werknemers
Op welk vlak was de GDPR vernieuwend?
1. Transparantie
Als je persoonsgegevens verwerkt van bijvoorbeeld jouw werknemers, klanten of leveranciers moet je hen duidelijk en verstaanbaar informeren hoe je deze gegevens verzamelt en opslaat.
Voorbeeld
Verwijs naar jouw privacyverklaring in jouw algemene voorwaarden, wanneer iemand een formulier invult op jouw website, ... Die privacyverklaring heeft onder meer een verplichte minimuminhoud en moet in een begrijpbare taal opgesteld zijn.
2. Verantwoordelijkheid
Voor elke verwerking van persoonsgegevens leg je verplicht een doel en een toepassingskader vast. Daarnaast moet je kunnen aantonen dat je voldoende maatregelen genomen hebt om de persoonsgegevens die je verwerkt te beveiligen.
3. Nieuwe privacyrechten
Naast de bestaande heeft de GDPR enkele nieuwe rechten ingevoerd.
- Indien iemand je vraagt om zijn persoonsgegevens te verwijderen, moet je dit uitvoeren
- Ieder heeft ook het recht om zijn persoonsgegevens over te dragen van de ene naar de andere dienstverlener
- Er bestaat ook het recht om zich te verzetten tegen het opstellen van profielen en de automatische verwerking
4. Verplichte melding van datalekken
Je bent verplicht om een schending of een verlies van persoonsgegevens binnen de 72 uur te melden bij de GBA, tenzij je kan aantonen dat er geen hoog risico is voor de rechten en vrijheden van de betrokkenen.
Hoge boetes bij niet-naleving
De GDPR bevat niet alleen regels rond bescherming van persoonsgegevens, maar ook een serieuze stok achter de deur. Wie ernstig nalatig is, kan een boete krijgen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Voorbeeld
Een Belgisch bouwbedrijf kreeg op 8 december 2021 een boete van 10.000 euro omdat het een gekochte lijst met publieke data van particulieren voor direct marketing gebruikt had.
Meer recent kende de GBA op 4 april 2022 boetes toe aan Brussels Airport (200.000 euro) en aan Charleroi Airport (100.000 euro) omdat deze luchthavens tijdens de covid-periode een temperatuurcontrole installeerden zonder wettelijke verwerkingsgrond.
Onze tip
Als je GDPR-proof bent, is dit positief voor het imago van jouw bedrijf en geeft het je een competitief voordeel.
Cijfers
Ieder jaar publiceert de GBA een rapport over het vorige jaar. Voor de periode van 25 mei 2020 tot 20 mei 2021 waren er 1902 klachten en 1232 meldingen over gegevenslekken.
De GBA stelt ook een toename vast van de opgelegde geldboetes, zowel van het aantal als van de hoogte ervan.
Er wordt verwacht dat deze cijfers dit jaar gestegen zijn volgens de jaarlijkse stijgende trend.
Wat doet Securex voor jou?
Ben je niet zeker of jouw HR beleid wel GDPR-proof is of heb je bijkomende vragen? Neem dan gerust contact op met jouw Securex Legal Advisor via myHR@securex.be. Op onze e-shop vind je onze modellen.
Om meer te weten over dit onderwerp, kan je ons dossier GDPR en de bescherming van persoonsgegevens op Lex4You, onder het thema « Verplichtingen van de werkgever ».
Bronnen
