GDPR in werking: bent u er klaar voor?

25 mei 2018

GDPR van kracht

Vandaag treedt de GDPR (General Data Protection Regulation) effectief in werking. Verwerkt u persoonsgegevens van sollicitanten, werknemers en klanten, dan moet u voortaan de GDPR-regels naleven.

Als verwerkingsverantwoordelijke heeft u onder andere:

  • een documentatieplicht waarbij u gebruik maakt van een dataregister;
  • een informatieverplichting ten aanzien van zowel uw personeel, maar ook uw sollicitanten;
  • de verplichting een DPO (Data Protection Officer of functionaris voor gegevensbescherming) aan te stellen als bepaalde voorwaarden vervuld zijn;
  • de verplichting om alle persoonsgegevens niet langer te bewaren dan noodzakelijk.

Wees u bewust van de risico’s. Het toezicht op de naleving van de nieuwe verplichtingen ligt bij een Gegevensbeschermingsautoriteit. In België is deze rol weggelegd voor de privacy commissie. De sancties bij het niet correct toepassen van de GDPR zijn divers en variëren van een waarschuwing, een berisping, eventueel een tijdelijk verbod om gegevens te verwerken tot een zware boete.

Wat zijn de minimale verplichtingen als werkgever in het kader van HR?

Documentatieplicht: een dataregister opstellen

Iedere verwerking van persoonsgegevens door de werkgever moet in principe terechtkomen in het dataregister. Een voorbeeld van een dergelijk register is te consulteren op de website van de gegevingsbeschermingsautoriteit. Dit dataregister zal onder andere het doel en de rechtsgronden van de verwerkingen, de categorieën van persoonsgegevens, … moeten bevatten.

De verplichting om dit register bij te houden is in regel van toepassing op ondernemingen met minstens 250 werknemers.

Maar opgelet, ook kleinere ondernemingen zullen in bepaalde gevallen verplicht zijn een dataregister op te stellen. Dit is bijvoorbeeld het geval wanneer een onderneming met minder dan 250 werknemers:

  • gevoelige informatie verwerkt of persoonsgegevens verwerkt op niet-incidentele basis. Als de onderneming activiteiten verricht die verband houden met personeelsbeheer, dan beschouwt de Gegevensbeschermingsautoriteit dit als een niet-incidentele verwerking. In dat geval moet u toch over een register beschikken. Ondernemingen met minder dan 250 werknemers mogen zich volgens de Gegevensbeschermingsautoriteit evenwel beperken tot opname van de niet-incidentele verwerkingen in het dataregister ;
  • tot slot is een register alsnog vereist wanneer de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen.


Informatieverplichting

U bent verplicht om uw personeel en sollicitanten te informeren over het feit dat u persoonsgegevens verwerkt.

U kunt voldoen aan uw informatieverplichting door bijvoorbeeld te kiezen voor:

  • een bijlage bij het arbeidsreglement;
  • een bijlage bij de arbeidsovereenkomst;
  • een specifieke privacy policy.

Wees u ervan bewust dat de betrokkenen ruimere rechten genieten, waaronder het recht om gegevens in te zien, te wijzigen, aan te passen, te verwijderen, te beperken en over te dragen.


Eventueel de verplichting een DPO aan te stellen

U moet een DPO (functionaris voor gegevensbescherming) aanstellen als u:

  • een overheidsdienst bent;
  • of als uw hoofdactiviteit bestaat uit grootschalige, regelmatige en stelselmatige observatie van persoonsgegevens;
  • of als u op grootschalige wijze gevoelige gegevens verwerkt.

De DPO heeft onder meer als taak:

  • de werkgever en werknemers te informeren en adviseren over GDPR;
  • te controleren of de verwerkingen van persoonsgegevens conform de GDPR gebeuren;
  • op te treden als contactpunt voor de toezichthoudende autoriteit.


Opgelet met de bewaartermijnen van persoonsgegevens!

De GDPR bepaalt zelf geen exacte bewaartermijnen. Wat de GDPR wel voorziet is dat in het kader van persoonsgegevens:

  • ofwel de exacte bewaartermijn moet worden bepaald ;
  • ofwel dat u criteria uitwerkt op basis waarvan de bewaartermijn kan afgeleid worden.

U houdt voor het bepalen van de bewaartermijnen concreet dus rekening met de voorziene wettelijke bepalingen. Zo zijn er bijvoorbeeld betreffende sociale documenten specifieke bewaartermijnen voorzien.

Wat kan Acerta voor u doen?

De toepassing van deze nieuwe regelgeving is absoluut geen sinecure. U staat hier echter niet alleen voor. Acerta Legal Consult heeft een specifiek aanbod uitgewerkt om uw HR-processen in overeenstemming te brengen met de GDPR.

Kom meer te weten over dit onderwerp tijdens onze opleiding De nieuwe privacyverordening (GDPR): bent u er klaar voor?. Tijdens deze halve dag krijgt u inzicht in de nieuwe Europese wetgeving rond de privacy (GDPR) en een concreet stappenplan om u in regel te stellen. Het is ook mogelijk om in te inschrijven voor onze opleiding GDPR-verplichtingen voor de personeelsdienst: een praktische wegwijzer. Deze 2-daagse leert u concreet wat u moet doen met de persoonsgegevens van uw personeel om u in regel te stellen met de GDPR of de Europese privacy verordening.

Deel dit juridisch nieuws en updates
Terug naar overzicht juridisch nieuws en updates