GDPR en de documentatieplicht voor werkgevers: aandacht voor het register!

28 mei 2018

Vanaf 25 mei 2018 is de GDPR in werking getreden. Deze Europese verordening legt striktere regels op inzake het omgaan en verwerken van persoonsgegevens van uw werknemers.

De informatieplicht van de werkgever

De GDPR voorziet een uitbreiding van de infoplicht voor werkgevers ten aanzien van zijn werknemers. Een en ander heeft te maken met de uitgebreidere rechten van betrokken werknemers om te weten wat er met persoonsgegevens wordt gedaan.

We herhalen hier nog eens kort uw verplichtingen inzake de verwerking van persoonsgegevens:

  • Bepalen van de rechtsgrond voor de verwerking van gegevens;
  • Meedelen welke gegevens er worden verwerkt;
  • De bewaartermijn van deze gegevens;
  • Indien relevant of de gegevens naar een derde land (buiten EU) worden verstuurd en in dat specifieke geval de rechten van de betrokkene;
  • Rechten van de betrokkene in kader van inzage, controle, verbetering,…;
  • Indien van toepassing de coördinaten van de data protection officer (DPO).

De documentatieplicht van de werkgever

Register voor verwerkingsactiviteit

De GDPR voorziet een uitgebreide documentatieplicht voor de werkgever. Deze uitgebreidere documentatieplicht vertaalt zich in de vorm van een register voor verwerkingsactiviteiten (dataregister).

Dit register is ter vervanging van de aangifte aan de gegevensbeschermingsautoriteit (vroegere Privacy-commissie). Weliswaar valt de aangifte weg maar het invullen van het register komt hiervoor in de plaats.

Een en ander houdt dus ook in dat u dit register altijd up-to-date moet houden. En dat u bijvoorbeeld dit register moet bijwerken als u wil gaan gebruik maken van nieuwe technologie met oog op het verwerken van persoonsgegevens.

Welke ondernemingen?

De verplichting tot het bijhouden van dergelijk register is in regel van toepassing op ondernemingen met minstens 250 werknemers.

Hou er echter rekening mee dat ook ondernemingen met kleinere omvang in volgende situaties ook dergelijk register moeten bijhouden:

  • Wanneer de verwerking van persoonsgegevens waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen;
  • Wanneer de verwerking niet incidenteel is;
  • Wanneer er gevoelige gegevens verwerkt worden.

In een evaluatie van het begrip niet-incidentele verwerking geldt als dusdanig dat alle activiteiten in kader van personeelsbeheer hieronder ressorteren. Voor ondernemingen < 250 werknemers stelt men als aanbeveling voorop dat deze ondernemingen zich mogen beperken tot louter de niet-incidentele verwerkingen.

Deel dit artikel

Terug naar overzicht juridisch nieuws en updates