GDPR in werking: ben je er klaar voor?

Vandaag treedt de GDPR (General Data Protection Regulation) effectief in werking. Verwerk je persoonsgegevens van sollicitanten, werknemers en klanten, dan moet je voortaan de GDPR-regels naleven.

Als verwerkingsverantwoordelijke heb je onder andere:

• een documentatieplicht waarbij je gebruik maakt van een dataregister;
• een informatieverplichting ten aanzien van zowel jouw personeel, maar ook je sollicitanten;
• de verplichting een DPO (Data Protection Officer of functionaris voor gegevensbescherming) aan te stellen als bepaalde voorwaarden vervuld zijn;
• de verplichting om alle persoonsgegevens niet langer te bewaren dan noodzakelijk.

Wees je bewust van de risico’s. Het toezicht op de naleving van de nieuwe verplichtingen ligt bij een Gegevensbeschermingsautoriteit. In België is die rol weggelegd voor de privacy commissie. De sancties bij het niet correct toepassen van de GDPR zijn divers en variëren van een waarschuwing, een berisping, eventueel een tijdelijk verbod om gegevens te verwerken tot een zware boete.

Documentatieplicht: een dataregister opstellen

Iedere verwerking van persoonsgegevens door de werkgever moet in principe terechtkomen in het dataregister. Dit dataregister zal onder andere het doel en de rechtsgronden van de verwerkingen, de categorieën van persoonsgegevens, … moeten bevatten.

De verplichting om dit register bij te houden is in regel van toepassing op ondernemingen met minstens 250 werknemers.

Maar opgelet, ook kleinere ondernemingen zullen in bepaalde gevallen verplicht zijn een dataregister op te stellen. Dit is bijvoorbeeld het geval wanneer een onderneming met minder dan 250 werknemers:

• gevoelige informatie verwerkt of persoonsgegevens verwerkt op niet-incidentele basis. Als de onderneming activiteiten verricht die verband houden met personeelsbeheer, dan beschouwt de Gegevensbeschermingsautoriteit dit als een niet-incidentele verwerking. In dat geval moet je toch over een register beschikken. Ondernemingen met minder dan 250 werknemers mogen zich volgens de Gegevensbeschermingsautoriteit evenwel beperken tot opname van de niet-incidentele verwerkingen in het dataregister ;
• tot slot is een register alsnog vereist wanneer de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen.

Informatieverplichting

Je bent verplicht om jouw personeel en sollicitanten te informeren over het feit dat je persoonsgegevens verwerkt.

Je akn voldoen aan je informatieverplichting door bijvoorbeeld te kiezen voor:

• een bijlage bij het arbeidsreglement;
• een bijlage bij de arbeidsovereenkomst;
• een specifieke privacy policy.

Wees je ervan bewust dat de betrokkenen ruimere rechten genieten, waaronder het recht om gegevens in te zien, te wijzigen, aan te passen, te verwijderen, te beperken en over te dragen.

Eventueel de verplichting een DPO aan te stellen

Je moet een DPO (functionaris voor gegevensbescherming) aanstellen als je:

• een overheidsdienst bent;
• of als jouw hoofdactiviteit bestaat uit grootschalige, regelmatige en stelselmatige observatie van persoonsgegevens;
• of als je op grootschalige wijze gevoelige gegevens verwerkt.

De DPO heeft onder meer als taak:

• de werkgever en werknemers te informeren en adviseren over GDPR;
• te controleren of de verwerkingen van persoonsgegevens conform de GDPR gebeuren;
• op te treden als contactpunt voor de toezichthoudende autoriteit.

Opgelet met de bewaartermijnen van persoonsgegevens!

De GDPR bepaalt zelf geen exacte bewaartermijnen. Wat de GDPR wel voorziet is dat in het kader van persoonsgegevens:

• ofwel de exacte bewaartermijn moet worden bepaald ;
• ofwel dat je criteria uitwerkt op basis waarvan de bewaartermijn kan afgeleid worden.

Je houdt voor het bepalen van de bewaartermijnen concreet dus rekening met de voorziene wettelijke bepalingen. Zo zijn er bijvoorbeeld betreffende sociale documenten specifieke bewaartermijnen voorzien.