Verwerking van Medewerkergegevens: Wat is Goed en Fout onder de AVG
Werkgevers verwerken persoonlijke gegevens van medewerkers. Daar is geen ontkomen aan. Echter, door de AVG en andere wetten voor de bescherming van persoonsgegevens zijn werkgevers beperkt in het verwerken van deze gegevens.
De AVG is vrij duidelijk als het gaat om het verzamelen en verwerken van onnodige gegevens, zoals voor marketingdoeleinden. In dat geval heb je toestemming van de gebruiker nodig om hun gegevens te verwerken.
Als het gaat om persoonlijke gegevens die verwerkt moeten worden in het belang van de gebruiker, zijn de regels anders. Bedrijven kunnen andere wettelijke grondslagen gebruiken voor die verwerking.
De verwerking van gegevens van medewerkers zit daar ergens tussenin. De werkgever kan deze verwerken om aan bepaalde wettelijke vereisten te voldoen, wat met veel beperkingen gepaard gaat.
De AVG biedt een kader voor EU-lidstaten om de verwerking van medewerkersgegevens te reguleren, terwijl nationale wetten en collectieve overeenkomsten helpen om gegevensbescherming te waarborgen. Werkgevers kunnen gegevens van medewerkers verwerken voor verschillende doeleinden gerelateerd aan werk en moeten toestemming krijgen voor extra doeleinden.
Ze moeten ook zorgen voor wettelijke gegevensoverdrachten en beveiligingsmaatregelen implementeren. Medewerkers kunnen hun privacyrechten uitoefenen, waaronder toegang, bezwaar, correctie en het recht om vergeten te worden.
Internationale werkgevers moeten zich een weg banen door verschillende arbeidswetten en AVG-naleving in verschillende landen.
Hoe Reguleert de AVG de Verwerking van Persoonlijke Gegevens van Medewerkers?
Ter herinnering, de AVG is een verordening die direct van toepassing is in elke lidstaat. De AVG is niet zo specifiek over de verwerking van medewerkersgegevens als in andere gebieden. Het schetst het kader waarbinnen elke EU-lidstaat deze zaken kan reguleren.
De AVG zegt dat:
- Elke lidstaat van de Europese Unie de vrijheid heeft om te kiezen hoe de verwerking van medewerkersgegevens, inclusief gevoelige gegevens, te reguleren
- Ze kunnen de verwerking reguleren door middel van nationale wetten en collectieve overeenkomsten
- Lidstaten moeten ervoor zorgen dat hun wetten en collectieve contracten de menselijke waardigheid, legitieme belangen en fundamentele rechten van de betrokkene beschermen
- Nationale wetten en collectieve overeenkomsten moeten rekening houden met de AVG-regels rondom de transparantie van verwerking en internationale gegevensoverdrachten.
Wat Betekent Dit
Dit betekent dat de werkgever medewerkersgegevens kan verwerken voor:
- Werving
- Uitvoering van arbeidsovereenkomsten
- Diversiteit en gelijkheid op de werkplek
- Planning en organisatie van werk
- Bedrijfsbeheer
- Veiligheid en gezondheid op de werkplek
- Bescherming van eigendom van werkgever of klanten, of
- Elke andere verplichting die de werkgever kan hebben volgens de toepasselijke wetten en collectieve overeenkomsten.
Dit omvat ook de verwerking van gevoelige persoonlijke gegevens, zoals gezondheidsgegevens, ras, etnische afkomst, seksuele geaardheid, en anderen.
Wat de Werkgever Moet Doen
Naast het naleven van arbeidswetten, moet de werkgever ook de AVG naleven. Voor HR betekent dit het volgende:
Gegevens verwerken voor de juiste doeleinden. De werknemer heeft zijn gegevens verstrekt voor werkdoeleinden. Dit geeft de werkgever het recht om de gegevens alleen voor werkdoeleinden te verwerken en niets anders.
Toestemming van de werknemer verkrijgen voor verwerking buiten werkdoeleinden. Als de werkgever de gegevens van de werknemer voor andere doeleinden wil verwerken, hebben ze daarvoor hun uitdrukkelijke toestemming nodig. De werkgever moet ervoor zorgen dat de werknemer goed geïnformeerd is en de mogelijkheid bieden om de toestemming in te trekken, mocht de werknemer dat willen.
Zorgen dat gegevensoverdrachten rechtmatig zijn. Gegevensoverdrachten binnen de EU en adequate landen zijn vrij. Overdrachten naar derde landen zijn niet vrij, en die naar de Verenigde Staten zijn bijzonder lastig.
Lees meer over hoe je persoonlijke gegevens naar de VS overdraagt in overeenstemming met de AVG.
Beveiligingsmaatregelen implementeren. De gemeente Bergen in Noorwegen heeft een boete van EUR 170.000 gekregen voor het niet implementeren van voldoende beveiligingsmaatregelen ter bescherming van de persoonsgegevens van studenten en leraren.
Bekijk onze lijst van AVG-boetes voor een volledig overzicht van alle bekende boetes.
Wat deden ze? Hun computersysteem had een zwakke inlogfunctie waardoor onbevoegden toegang konden krijgen tot persoonlijke gegevens.
Een slechte inlog lijkt een klein probleem in de dagelijkse bedrijfsvoering, maar elke onvoldoende beveiligingsmaatregel brengt het budget en imago van de werkgever in gevaar.
Mogelijk een Functionaris voor Gegevensbescherming (FG) aanstellen. Sommige bedrijven moeten een FG aanstellen. De AVG vereist het volgende voor het aanstellen van een FG:
- Overheidsorganen
- Bedrijven waarvan de primaire inkomstenbron gegevensverwerking is, en
- Bedrijven die gevoelige persoonsgegevens verzamelen en/of verwerken.
Niet alle bedrijven vallen onder deze categorieën. Dus niet allemaal hoeven een FG aan te stellen. Voor alle anderen is het een goede praktijk om iemand binnen het bedrijf aan te stellen die zich bezighoudt met gegevensbescherming.
Wat de Werknemer Kan Doen
De werknemer kan zijn rechten als betrokkene uitoefenen. Iedereen waarop de AVG van toepassing is, heeft een reeks privacyrechten die ze kunnen uitoefenen om schade te voorkomen en hun privacy te beschermen.
Recht op inzage. De werknemer kan altijd toegang vragen tot de persoonlijke gegevens die de werkgever verwerkt. Tegelijkertijd kan de werknemer informeren naar de verwerkingsdoeleinden en achterhalen of de gegevens alleen voor werkdoeleinden worden verwerkt of niet.
Daarnaast kan de werknemer informeren naar de tools van derden die de werkgever gebruikt voor gegevensverwerking. Dit helpt hen te bepalen of de verwerking rechtmatig is, wat de verwerkingsdoeleinden zijn, of gegevens naar het buitenland worden overgedragen, enzovoort.
Recht van bezwaar. Als de werknemer vaststelt dat sommige gegevens om de verkeerde redenen worden verwerkt, kunnen ze hiertegen bezwaar maken. De werkgever moet de verwerking voor die specifieke doeleinden dan staken.
Als de gegevens echter uitsluitend voor werkdoeleinden worden verwerkt, is er geen ruimte voor bezwaar.
Recht op rectificatie. De werknemer heeft het recht om onjuiste gegevens te laten corrigeren. De werkgever moet de gevraagde correcties aanbrengen.
Recht op vergetelheid. De werknemer heeft het recht om onder bepaalde omstandigheden vergeten te worden. Hij of zij kan verzoeken om hun gegevens uit de administratie van de werkgever te laten verwijderen als aan de volgende twee voorwaarden is voldaan:
- De werknemer is niet meer in dienst bij de werkgever, en
- De werkgever heeft de persoonlijke gegevens van de werknemer niet meer nodig.
In alle andere gevallen kan de werkgever weigeren de persoonlijke gegevens van de werknemer te wissen.
Vergoeding krijgen in geval van schade door een datalek. Soms zijn bedrijven slachtoffer van datalekken. Deze lekken kunnen schade toebrengen aan werknemers. Als er schade optreedt, heeft de werknemer het recht om vergoed te worden voor de geleden schade.
Wat Gebeurt Er Als Werkgever en Werknemer in Verschillende Landen Zijn?
Wanneer zowel de werkgever als de werknemer zich in de EU bevinden, is alles eenvoudig – de AVG is op iedereen van toepassing.
Tegenwoordig zijn de werkgever en de werknemer echter vaak in verschillende landen. Dit beïnvloedt ook de toepasbaarheid van de AVG en kan zaken ingewikkeld maken voor zowel de werkgever als de werknemer.
Hier is een eenvoudige formule om je te helpen:
- Werkgever uit de EU en werknemers van elders, AVG is van toepassing
- Werkgever uit de EU en werknemers uit de EU in een ander land, AVG is van toepassing
- Werkgever uit de EU en werknemers uit de EU, AVG is van toepassing
- Werkgever van buiten de EU en werknemers van buiten de EU, AVG is niet van toepassing
- Werkgever van elders en werknemers uit de EU in een ander land, AVG is alleen van toepassing op de relatie met de EU werknemers.
Bepaal of de AVG van toepassing is en zo ja, lees dan opnieuw wat de werkgever moet doen en wat de werknemer kan doen om hun persoonsgegevens goed te beschermen.
De Belangrijkste Punten
Wanneer er persoonsgegevens betrokken zijn, zijn de wetten op gegevensbescherming van toepassing. Dit sluit arbeidsrelaties niet uit.
De AVG is niet erg streng als het gaat om gegevensverwerking voor werkdoeleinden. Er wordt enige ruimte gelaten voor arbeidswetgeving en collectieve arbeidsovereenkomsten om te bepalen welke categorieën gegevens kunnen worden verwerkt.
De werkgever moet aan alle andere AVG-vereisten voldoen voor alle andere aspecten.
De internationale werkgever die mensen in dienst heeft in veel verschillende landen, moet heel voorzichtig zijn. Arbeidswetten verschillen in de EU-landen en elk land heeft zijn eigen collectieve overeenkomsten.
Dit plaatst hen in een zeer uitdagende positie. Ze kunnen de veilige weg kiezen door simpelweg de minimale hoeveelheid gegevens te verwerken die nodig zijn. Het is een van de basisprincipes van gegevensbescherming die alles eenvoudiger maakt.