GDPR: u bent toch ook al met gegevensbescherming bezig?

Op 24 mei 2016 is de Europese GDPR Verordening (General Data Protection Regulation) in werking getreden - in het Nederlands AVG (Algemene Verordening Gegevensbescherming). Deze verordening regelt de verwerking van persoonsgegevens en brengt een aantal wijzigingen mee in de huidige Belgische Privacywet. Die wijzigingen betekenen een niet te onderschatten impact voor uw organisatie. Er werd een overgangsperiode van 2 jaar voorzien. U hebt dus nog tot 25 mei 2018 de tijd om uw organisatie klaar te stomen om aan de nieuwe verplichtingen te voldoen.

Op wie is deze Europese verordening van toepassing?

GDPR is van toepassing op alle private of publieke organisaties (ondernemingen, verenigingen, overheidsinstanties…), die persoonsgegevens verwerken van Europese burgers. Zo zal de verordening bijvoorbeeld van toepassing zijn op alle ondernemingen die personeel in dienst hebben. Op het vlak van HR zijn er immers heel wat verwerkingsprocessen van persoonsgegevens. Denk aan loon- en personeelsadministratie, databank met de persoonlijke gegevens van werknemers en sollicitanten, uitwisselen van gegevens met het Sociaal Secretariaat, het jaarlijkse fotoboek,…

Nieuwe verplichtingen voor werkgevers

In plaats van de huidige aangifteplicht aan de Privacycommissie zullen vele ondernemingen (vanaf 250 werknemers) een register moeten bijhouden van alle verwerkingsactiviteiten die onder hun verantwoordelijkheid gebeuren.

De privacyverklaring waarin u nu reeds bij de verwerking van persoonsgegevens aan de betrokkenen bepaalde informatie verschaft (informatieplicht), moet worden aangevuld met bijkomende informatie zoals wettelijke grondslag en termijn van bijhouden.

Bij hoge risicosituaties (zoals de introductie van nieuwe technologie) zal er een Privacy Impact Assessment (PIA) moeten worden uitgevoerd. Bij het ontwikkelen van nieuwe producten bijvoorbeeld zal gegevensbescherming van bij het begin moeten worden ingebouwd (privacy by design).

Bepaalde ondernemingen zullen verplicht zijn om een Functionaris voor Gegevensbescherming of Data Protection Officer aan te stellen.

Wanneer een gegevenslek waarschijnlijk zal leiden tot schade bij de betrokkene, is er een meldingsplicht aan de Privacycommissie binnen de 72 uur na ontdekking.

Nieuwe rechten voor de werknemers en betrokkenen

De betrokkenen genieten onder de GDPR over dezelfde rechten als onder de huidige Belgische Privacywet, met enkele verbeteringen en nieuwigheden.

De toestemming van de betrokkene voor de verwerking van persoonsgegevens kan niet worden afgeleid uit een stilzwijgen, maar moet uitdrukkelijk gegeven zijn.

Verzoeken tot toegang van de persoonsgegevens door de betrokkenen zullen binnen de 30 dagen (nu nog 45 dagen) moeten worden behandeld.

Zo hebben de betrokkenen een ‘recht om vergeten te worden’, wat inhoudt dat u onder bepaalde omstandigheden verplicht zal zijn om hun persoonsgegevens te wissen.

Zo is er een betere bescherming tegen direct marketing praktijken, geautomatiseerde besluitvorming (bij sollicitaties via internet bijvoorbeeld) en profilering.

Ook hebben de betrokkenen het recht om hun persoonsgegevens in een gestructureerde en elektronische vorm te verkrijgen (dit is het recht op overdraagbaarheid gegevens of data portability).

Hoger risico op hogere sancties

Met de GDPR zal elke organisatie moeten bewijzen dat ze in overeenstemming met de databeschermingsprincipes handelt, kortom dat ze GDPR-compliant is (omkering bewijslast, rekenschap en verantwoording, accountability).

Indien een onderneming de voorgestelde regels niet naleeft of overtreedt, zal zij het risico lopen op een boete tot 20.000.000 EUR of 4% van de wereldwijde jaaromzet. De bevoegdheden van de Privacycommissie zullen worden uitgebreid om haar meer armslag te geven, waardoor zij proactief kan optreden en rechtstreeks sancties opleggen waar nodig.

Het is duidelijk dat de privacywetgeving deze keer geen dode letter zal blijven.

’13-Stappenplan van aanpak’

Gelet op het belangrijke risico dat privacy (gegevensbescherming) betekent voor een organisatie, zowel voor de werking van haar business als voor haar reputatie, moet u zich tijdig voorbereiden en de nodige maatregelen rond privacy op voorhand implementeren.

Gelet op het belang van de verwerkingsprocessen van persoonsgegevens van de werknemers is het aangewezen dat HR deel uitmaakt van het Data Protection projectteam dat op basis van het projectplan ondermeer de bestaande verwerkingsprocessen van persoonsgegevens zal inventariseren (data audit) en de bestaande procedures zal bijsturen.

Ook is het in het kader van de bewustmaking belangrijk om tijdig de werknemers te informeren via de Ondernemingsraad.

De Belgische Privacycommissie heeft een 13-stappenplan ter beschikking gesteld dat u kan helpen om uw organisatie tegen 25 mei 2018 GDPR-compliant te maken.
Raadpleeg het stappenplan via
deze link.

Tags: GDPR
Neem contact op voor advies op maat

Meer inzicht in impact arbeidsrecht op werkgevers en werknemers?

Ontvang 2 keer per maand onze nieuwe artikels via e-mail.
Schrijf u hier in.

Nieuwsbrief

Uw gegevens worden vertrouwelijk behandeld en zullen nooit aan derden worden doorgegeven.