Bereid u voor op de strengere Europese regels inzake Privacy en vermijd hoge boetes

Auteur: Katia De Wilde
Datum:

Europa vaardigde op 27 april 2016 de nieuwe AVG-Verordening uit (AVG = Algemene Verordening inzake Gegevensbescherming. Men gebruikt ook vaak de Engelse benaming: GDPR-Verordening-GDPR = General Data Protection Regulation)

Deze Verordening is rechtstreeks van toepassing op alle Lidstaten en ondernemingen vanaf 25 mei 2018.  De nieuwe Privacy-Verordening biedt aan alle individuen een grotere bescherming bij de verwerking van persoonsgegevens door bedrijven, organisaties, enz. .

“Persoonsgegevens” is alle informatie over een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, zoals aan de hand van naam, locatiegegevens, fysieke fysiologie, economische, culturele of sociale identiteit, enz. van die natuurlijke persoon.

Op basis van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonlijke gegevens, heeft u op vandaag reeds verplichtingen na te leven indien u persoonsgegevens van uw personeel opslaat of verwerkt. De nieuwe GDPR-Verordening heeft deze verplichtingen nog eens uitgebreid en verstrengd.

Bovendien krijgt de Privacycommissie een grotere controlebevoegdheid en kan hij ernstige financiële sancties opleggen bij niet-naleving van deze verplichtingen.

Verwerkt u als werkgever persoonsgegevens van o.a. uw personeelsleden (bijv.: evaluatie en opvolging van uw personeel, elektronische archivering van sollicitanten, camerabewaking op de werkvloer, track en trace in de wagens van uw medewerkers, enz.) dan is het tijd de nodige stappen te zetten om tegen 25 mei 2018 in orde te zijn met deze Europese Verordening.

Hierbij vindt u een kort overzicht van de belangrijkste verplichtingen die u zal hebben als werkgever in het kader van de GDPR-Verordening :

Uitgebreidere informatieverplichting

Informatie m.b.t. de bewaringstermijn van de persoonsgegevens, de verspreiding van de gegevens buiten de Europese Unie, klachtenprocedure, recht van de werknemer om te consulteren, te verbeteren, te wissen, enz.

Versterkte toestemming van de werknemer

De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn + vermelding wettelijke basis

Bijhouden van een register van verwerkingsactiviteiten

- Voor werkgever met minimum 250 werknemers.

-Ook voor werkgever met minder dan 250 werknemer, indien de werkgever “gevoelige gegevens” verwerkt of hij op een “niet-incidentele wijze” deze persoonsgegevens gebruikt.

- De Commissie voor Bescherming van de Persoonlijke Levenssfeer raadt evenwel aan dat o.a. alle werkgevers die persoonlijke gegevens verwerken een dergelijk register bijhouden.

-Inhoud: het register geeft informatie over wie en welke  gegevens verwerkt worden,  aan wie deze gegevens bezorgd worden, voor welk doel de gegevens verwerkt worden, enz. .

Functionaris van gegevensbescherming

Bepaalde werkgevers moeten een Functionaris van gegevensbescherming aanduiden. Hij is de contactpersoon binnen uw bedrijf inzake de toepassing van de GDPR-Verordening, werkt samen met de Privacycommissie, enz.

De Belgische wetgever heeft de mogelijkheid om deze maatregelen nog te verfijnen en te verstrengen.

De Privacycommissie zal nagaan of de werkgever de GDPR-verordening naleeft. Zij kan alle informatie opvragen die nodig is om deze onderzoeksbevoegdheid uit te oefenen. Zij kan waarschuwingen geven, vragen tot rechtzettingen te doen binnen een bepaalde termijn, enz. .

De Privacycommissie kan tevens sanctioneren door het opleggen van administratieve geldboetes.  Bij niet-naleving van uw verplichtingen als verwerkingsverantwoordelijke, kan de administratieve geldboete oplopen tot 20.000.000 EUR of, voor de onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Men zal hierbij wel rekening houden met de concrete situatie en eventuele verzachtende omstandigheden.

Hoe de Privacycommissie deze nieuwe bevoegdheden zal toepassen, is op heden evenwel nog onduidelijk.

Het is belangrijk dat u nu actie onderneemt. Denk hierbij aan:

  • Oplijsting van de domeinen in de onderneming die persoonsgegevens verwerken en nagaan of zij conform de GDPR-Verordening zijn;
  • Welke persoonsgegevens houdt u bij, van wie en waar;
  • Oplijsting van de verschillende documenten in het kader van de arbeidsrechtelijke relaties: camerabewaking, arbeidsreglement, enz. en nagaan of deze documenten conform zijn met de GDPR-Verordening en actualiseren;
  • Enz.

De Privacycommissie heeft een handleiding voorzien die in u in een 13-stappenplan helpt om u zo goed mogelijk voor te bereiden. Deze vindt u op de website: www.privacycommission.be in het themadossier AVG.

Auteur: Katia De Wilde

06/07/2017