GDPR en de documentatieplicht voor werkgevers: aandacht voor het register!

28 mei 2018

Vanaf 25 mei 2018 is de GDPR in werking getreden. Deze Europese verordening legt striktere regels op inzake het omgaan en verwerken van persoonsgegevens van uw werknemers.

De informatieplicht van de werkgever

De GDPR voorziet een uitbreiding van de infoplicht voor werkgevers ten aanzien van zijn werknemers. Een en ander heeft te maken met de uitgebreidere rechten van betrokken werknemers om te weten wat er met persoonsgegevens wordt gedaan.

We herhalen hier nog eens kort uw verplichtingen inzake de verwerking van persoonsgegevens:

  • Bepalen van de rechtsgrond voor de verwerking van gegevens;
  • Meedelen welke gegevens er worden verwerkt;
  • De bewaartermijn van deze gegevens;
  • Indien relevant of de gegevens naar een derde land (buiten EU) worden verstuurd en in dat specifieke geval de rechten van de betrokkene;
  • Rechten van de betrokkene in kader van inzage, controle, verbetering,…;
  • Indien van toepassing de coördinaten van de data protection officer (DPO).

De documentatieplicht van de werkgever

Register voor verwerkingsactiviteit

De GDPR voorziet een uitgebreide documentatieplicht voor de werkgever. Deze uitgebreidere documentatieplicht vertaalt zich in de vorm van een register voor verwerkingsactiviteiten (dataregister).

Dit register is ter vervanging van de aangifte aan de gegevensbeschermingsautoriteit (vroegere Privacy-commissie). Weliswaar valt de aangifte weg maar het invullen van het register komt hiervoor in de plaats.

Een en ander houdt dus ook in dat u dit register altijd up-to-date moet houden. En dat u bijvoorbeeld dit register moet bijwerken als u wil gaan gebruik maken van nieuwe technologie met oog op het verwerken van persoonsgegevens.

Een voorbeeld van dergelijk register kan u hier terugvinden.

Welke ondernemingen?

De verplichting tot het bijhouden van dergelijk register is in regel van toepassing op ondernemingen met minstens 250 werknemers.

Hou er echter rekening mee dat ook ondernemingen met kleinere omvang in volgende situaties ook dergelijk register moeten bijhouden:

  • Wanneer de verwerking van persoonsgegevens waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen;
  • Wanneer de verwerking niet incidenteel is;
  • Wanneer er gevoelige gegevens verwerkt worden.

In een evaluatie van het begrip niet-incidentele verwerking geldt als dusdanig dat alle activiteiten in kader van personeelsbeheer hieronder ressorteren. Voor ondernemingen < 250 werknemers stelt men als aanbeveling voorop dat deze ondernemingen zich mogen beperken tot louter de niet-incidentele verwerkingen.

Wat kan Acerta voor u doen?

De toepassing van deze nieuwe regelgeving is absoluut geen sinecure. U staat hier echter niet alleen voor. Acerta Legal Consult heeft een specifiek aanbod uitgewerkt om uw HR-processen in overeenstemming te brengen met de GDPR.

Kom meer te weten over dit onderwerp tijdens onze opleiding De nieuwe privacyverordening (GDPR): bent u er klaar voor?. Tijdens deze halve dag krijgt u inzicht in de nieuwe Europese wetgeving rond de privacy (GDPR) en een concreet stappenplan om u in regel te stellen. Het is ook mogelijk om in te inschrijven voor onze opleiding GDPR-verplichtingen voor de personeelsdienst: een praktische wegwijzer. Deze 2-daagse leert u concreet wat u moet doen met de persoonsgegevens van uw personeel om u in regel te stellen met de GDPR of de Europese privacy verordening.

Deel dit juridisch nieuws en updates
Terug naar overzicht juridisch nieuws en updates