Ga naar de inhoud
Let op: Om de gebruikerservaring op deze site te verbeteren gebruiken we cookies.

General Data Protection Regulation – HRseminarie 25 januari

General Data Protection Regulation – HRseminarie 25 januari

Vanaf 25 mei 2018 wordt de Europese Algemene Verordening Gegevensbescherming (AVG, beter gekend onder zijn Engelse afkorting GDPR) definitief van toepassing. Aangezien ook HR persoonsgegevens verwerkt, moet u ook weten dat voortaan strakkere regels en zwaardere sancties van toepassing zijn. Inger Verhelst, advocaat-vennoot van Claeys & Engels oriënteert de deelnemers van ons seminarie op donderdag 25 januari in deze complexe materie (voor meer informatie, klik hier).

Persoonsgegevens

De AVG gaat dus over de verwerking van persoonsgegevens, een verzamelnaam voor alle informatie waarmee een persoon direct of indirect kan worden geïdentificeerd (naam, adres, rijksregisternummer, loongegevens, het onlineprofiel, etc.)

Het concept ‘verwerken’ wordt zo ruim gedefinieerd dat zo goed als elke bewerking als een verwerking ervan wordt beschouwd. Voorwaarde is wel dat de verwerking minstens gedeeltelijk geautomatiseerd verloopt of, als dat niet het geval is, de persoonsgegevens bedoeld zijn om in een bestand te worden opgenomen.

Versterking

• Voor een groot stuk bevestigt de Verordening de bestaande principes. Ook de basisregels voor de overdracht van persoonsgegevens naar landen buiten Europa blijven grotendeels overeind. Voorts worden de bestaande rechten en plichten versterkt.
• De rechten van personen worden uitgebreid: de werknemer mag zijn gegevens verbeteren, laten wissen of - voortaan ook - overdragen naar een derde.
• De werkgever moet de data zo veilig mogelijk verwerken (door ze bv. te anonimiseren, pseudonimiseren of encrypteren).
• De plicht om contracten aan te gaan met ondernemingen die in hun opdracht gegevens gaan verwerken (bv. sociale secretariaten, externe IT-dienstverleners, verzekeraars,...).

De verwerkers zelf dragen onder de Verordening wel een grotere verantwoordelijkheid voor een veilige verwerking dan vandaag.

Uitbreiding informatieverplichting

De huidige plicht (2016) van de werkgever om (kandidaat-)werknemers in te lichten over bepaalde zaken wanneer hij hun persoonsgegevens verwerkt, wordt uitgebreid.

Persoonsgegevens van werknemers worden in de context van de arbeidsrelatie vaak verwerkt omdat dit kadert binnen de gerechtvaardigde belangen van de werkgever. Volgens de Verordening moet de werkgever nu dit gerechtvaardigd belang omschrijven in de informatie.

Werkgevers zullen o.m. op voorhand te kennen moeten geven of zij
• van plan zijn om gegevens buiten Europa door te sturen,
• hoe lang de gegevens bewaard zullen worden,
• dat de betrokkene het recht heeft om een klacht in te dienen bij de Privacycommissie,
• dat de betrokkene zijn toestemming kan intrekken (indien de verwerking - al dan niet gedeeltelijk - daarop is gebaseerd),
• wie de ‘Data Protection Officer’ is (als er één is), enzovoort.

Compliance project

De GDPR is in werking getreden op 25 mei 2016 maar wordt dus van toepassing vanaf 25 mei 2018. De overgangsperiode van twee jaar was voorzien om ondernemingen toe te laten zich tijdig in regel te stellen. Europa was zich er immers goed van bewust dat vele ondernemingen vandaag niet compliant zijn met de huidige regelgeving inzake gegevensbescherming.

Een compliance project verloopt in verschillende fasen. In eerste instantie moet de nodige informatie worden verzameld over de diverse verwerkingsprocessen. Deze moeten gedocumenteerd worden in een zogenaamd register. Aan de hand van deze informatie kan de onderneming dan de volgende stappen bepalen.

Het is alleszins hoog tijd voor alle ondernemingen om hier dringend werk van te maken. Wilt u op de hoogte blijven van deze trends? Schrijf hier in voor ons HRseminar Legal Update op 25 januari in BluePoint!

Bron: gdprbelgium.be – Claeys & Engels