De AVG op de werkvloer: waar moet u als werkgever op letten?

Van de salarisadministratie tot de verzuimregistratie, en van cameratoezicht tot personeelsvolgsystemen. Als werkgever verwerkt u dagelijks persoonsgegevens van uw werknemers. De Algemene Verordening Gegevensbescherming (''AVG'') speelt daarmee een belangrijke rol in uw dagelijkse processen en bij AVG op de werkvloer. Waar moet u als werkgever op letten bij de verwerking van persoonsgegevens? In deze blog gaan we nader in op de belangrijkste aspecten van AVG op de werkvloer.

Grondslagen verwerking persoonsgegevens werknemers uit de AVG

Als werkgever verwerkt u dagelijks persoonsgegevens van uw werknemers. Persoonsgegevens zijn gegevens die herleidbaar zijn tot een individu. Denk bijvoorbeeld aan een naam, adres en BSN. Onder het verwerken van deze gegevens wordt onder andere verstaan: het verzamelen, vastleggen, ordenen, opslaan, bewerken en gebruiken van gegevens. Op diverse vlakken is de AVG op de werkvloer van toepassing.

In praktijk worden op de werkvloer van de loonadministratie tot de verzuimregistratie gegevens van werknemers verwerkt. De AVG bepaalt dat deze verwerking alleen mag plaatsvinden als daar een wettelijke grondslag voor is. De AVG kent de volgende vijf relevante grondslagen voor werkgevers:

• Toestemming van werknemer

Wanneer een werknemer toestemming geeft voor het verwerken van zijn of haar persoonsgegevens mag u deze gegevens, volgens de AVG op de werkvloer, in beginsel verwerken. Toch is het verstandig om hier voorzichtig mee te zijn. Door de gezagsverhouding tussen werkgever en werknemer is het lastig om aan te tonen dat de toestemming echt vrijwillig is gegeven. Gegeven toestemming door een werknemer wordt daarom niet als de meest sterke of zorgvuldige grondslag gezien.

• Uitvoering van een overeenkomst

Wanneer het verwerken van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst, is de verwerking ook rechtmatig volgens de AVG. Dat geldt in dit verband dus voor de verplichtingen die voortvloeien uit de arbeidsovereenkomst met de werknemer. Een voorbeeld hiervan is het verwerken van salarisgegevens en de registratie van verlofdagen.

• Wettelijke verplichting

Ook wanneer gegevens verwerkt moeten worden om te voldoen aan een wettelijke verplichting is dit volgens de AVG rechtmatig. Een voorbeeld hiervan vloeit voort uit fiscale wetgeving en betreft het doorgeven van de salarisgegevens van werknemers aan de Belastingdienst.

• Vitale belangen

In uitzonderlijke situaties waarin het verwerken van persoonsgegevens noodzakelijk is om iemands leven of gezondheid te beschermen, en het niet mogelijk is om vooraf toestemming te vragen, mag u als werkgever ook gegevens van uw werknemer verwerken. De grondslag is dan het vitale belang van de werknemer. Denk hierbij bijvoorbeeld aan een medische calamiteit, waarbij de werknemer zelf niet in staat is noodzakelijke informatie te verstrekken. In een dergelijke situatie mag u als werkgever medische gegevens, voor zover bij u bekend, delen met hulpdiensten.

• Gerechtvaardigd belang

Als werkgever mag u ook persoonsgegevens verwerken wanneer u daarvoor een gerechtvaardigd belang heeft. Voorwaarde is wel dat de privacy van de werknemer daardoor niet onevenredig wordt geschaad. In de praktijk wordt deze grondslag uit de AVG gebruikt als wordt vastgesteld dat geen van de andere grondslagen van toepassing is.

Bij deze grondslag moet altijd een belangenafweging worden gemaakt. De vraag die in dat kader wordt gesteld is of uw bedrijfsbelang in de specifieke, voorliggende situatie zwaarder weegt dan het privacybelang van de werknemer. Alleen als dat het geval is, is verwerking van persoonsgegevens op basis van gerechtvaardigd belang volgens de AVG toegestaan.

Een voorbeeld van een gerechtvaardigd belang, in het kader van de AVG op de werkvloer, is het plaatsen van beveiligingscamera's op de werkvloer om diefstal te voorkomen of de veiligheid van de werknemers en/of bezoekers te waarborgen. Cameratoezicht kan in dat geval gerechtvaardigd zijn, zolang er geen minder ingrijpende alternatieven zijn en de werknemers en/of bezoekers hierover vooraf geïnformeerd zijn.

In een volgende blog zal nader in worden gegaan op de toepassing van de AVG op de werkvloer en zullen verschillende voorbeelden worden gegeven waarvoor een gerechtvaardigd belang bestaat.

Interne privacyverklaring van de AVG op de werkvloer

Aan ander belangrijk punt is dat u als werkgever verplicht bent om uw werknemers te informeren over de verwerking van hun persoonsgegevens en hoe de AVG op de werkvloer wordt nageleefd. Doorgaans gebeurt dit via een interne privacyverklaring.

In een interne privacyverklaring legt u als werkgever de belangrijkste onderwerpen van AVG op de werkvloer uit. In de privacyverklaring wordt beschreven welke persoonsgegevens er worden verwerkt, waarom dat gebeurt en hoe lang de gegevens door u bewaard worden. Daarnaast wordt aangegeven aan welke derden de persoonsgegevens worden doorgestuurd. Denk daarbij bijvoorbeeld aan de accountant, het UWV, de arbodienst etc.

Een interne privacyverklaring vermeldt daarnaast ook de rechten van werknemers, zoals het recht op inzage en het recht op verwijdering van gegevens.

Rol van de ondernemingsraad bij privacy op de werkvloer

Heeft uw organisatie een ondernemingsraad? Let dan op! De ondernemingsraad heeft in een aantal gevallen, die raken aan de privacy van werknemers, een instemmingsrecht. Dit betekent dat u als werkgever eerst instemming aan de ondernemingsraad moet vragen als u een bepaalde regeling op dat gebied wil vaststellen, wijzigen of intrekken.

In de Wet op de ondernemingsraden (WOR) worden twee regelingen genoemd waarvoor instemming is vereist, die nauw samenhangen met de toepassing van de AVG op de werkvloer:

• Een regeling voor het gebruik van personeelsgegevens. Denk bijvoorbeeld aan het registreren van verzuim, de salarisadministratie en de gegevens die worden bewaard in personeelsdossiers;
• Een regeling voor een personeelsvolgsysteem. Denk bijvoorbeeld aan een systeem dat aanwezigheid, tijd en toegang van de werknemers registreert en monitort. Ook track & trace-systemen in (vracht)auto's vallen hieronder.

N.B. Ook wanneer een werkgever een systeem niet gebruikt om werknemers te monitoren, maar dit wel zou kunnen, wordt een dergelijk systeem als een personeelsvolgsysteem aangemerkt. En valt het systeem onder de AVG op de werkvloer.

Data protection impact assessment (DPIA)

Wilt u op grote schaal persoonsgegevens verwerken of werknemers stelselmatig monitoren, zoals door middel van controle van e-mail- en internetgebruik, gps-trackers in (vracht)auto's van werknemers of cameratoezicht op de werkvloer? Dan moet u in het kader van de toepassing van de AVG op de werkvloer eerst een data protection impact assessment (DPIA) uitvoeren.

Een DPIA is een instrument om vooraf de privacy risico's van de voorgenomen gegevensverwerking in kaart te brengen. Op basis hiervan kunt u eventuele maatregelen nemen om deze risico's te verkleinen.

Onze specialisten privacyrecht kunnen u ondersteunen bij het uitvoeren van een DPIA en het implementeren van privacy maatregelen binnen uw organisatie. Neem gerust contact met één van hen op voor meer informatie.

Meer informatie of vragen over de AVG op de werkvloer?

Twijfelt u of uw wijze van verwerking van persoonsgegevens van uw werknemers voldoet aan de vereisten van de AVG op de werkvloer, of wilt u sparren over een specifieke situatie? Neem gerust contact op. Wij denken graag met u mee over AVG op de werkvloer.