De nieuwe Europese privacy verordening: wat betekent dit voor werkgevers?
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (hierna: “AVG) in werking. De AVG vervangt de huidige EU-privacyrichtlijnen en hiermee ook de Wet bescherming persoonsgegevens (Wbp) die momenteel in Nederland geldt. De AVG brengt voor onder andere werkgevers aanzienlijke wijzigingen c.q. verplichtingen en (financiële) risico’s met zich mee. Een goede voorbereiding op de AVG is dan ook van essentieel belang. Temeer nu ieder bedrijf te maken heeft met de verwerking van persoonsgegevens. Denk aan het verwerken van informatie tijdens de arbeidsongeschiktheid van werknemers, het zogeheten “smoelenboek”, een track en trace systeem etc.
Wat u als werkgever in ieder geval moet weten:
Werkgevers hebben op grond van de AVG de verplichting om de werknemer tijdig informatie te verschaffen omtrent alles wat met de verwerking van persoonsgegevens te maken heeft. Kortom, de werkgever dient voor aanvang van de arbeidsrelatie de werknemer te wijzen op al zijn privacyrechten. In de toekomst wordt het raadzaam geacht om als werkgever te gaan werken met zogenoemde algemene informatiebrieven. Vereist is in ieder geval dat de informatievoorziening op een begrijpelijke en toegankelijke vorm wordt verstrekt.
Voorts introduceert de AVG voor grote ondernemingen (lees: 250 werknemers of meer) een documentatieplicht. Dit houdt kortweg in dat werkgevers een register dienen bij te houden van hun verwerkingsactiviteiten. Deze plicht geldt eveneens voor ondernemingen die op grote schaal gegevens van individuen verwerken, of indien er sprake is van verwerking van gevoelige persoonsgegevens (zoals medische gegevens).
Daarnaast is de werkgever in bepaalde gevallen verplicht om een functionaris voor de gegevensverwerking aan te stellen. Deze verplichting geldt voor publieke overheden en voor particulieren die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens verwerken. Ook ondernemingen die op grote schaal regelmatig en systematisch individuen observeren zijn verplicht een functionaris in te schakelen.
Boeterisico:
De APV voorziet in zeer strenge sancties tegen werkgevers die voornoemde verplichtingen niet nakomen. De boete kan oplopen tot € 20 miljoen of 4% van de algemene jaaromzet. Daarnaast is niet langer opzet of ernstig verwijtbare nalatigheid vereist om direct een boete op te kunnen leggen.
Tips voor de ‘werkgeverspraktijk’:
Hoewel 25 mei 2018 misschien nog ver weg lijkt, is het gezien de vergaande implicaties van de AVG, relevant om nu al voorbereidingen te treffen. Onderzoek bijvoorbeeld alvast of uw huidige privacyverklaring volstaat en stel vast of u een functionaris voor gegevensbescherming moet vaststellen. Maak ook inzichtelijk welke persoonsgegevens op dit moment binnen de organisatie worden vastgelegd en of de documentatieplicht hierin wijzigingen aanbrengt!
Voor meer informatie over de nieuwe Europese privacy verordening dan wel de implementatie hiervan kunt u contact opnemen met de advocaten van Lammers|Thijssen Advocaten Arbeidsrecht. Op aanvraag kunnen wij ook verdiepende workshops over dit onderwerp verzorgen.