Sociale verkiezingen 2020 en GDPR

Auteur: Catherine Mairy
Datum:

In het kader van de organisatie van de volgende sociale verkiezingen is de werkgever verplicht heel wat persoonsgegevens te verwerken. Het gaat met name om de persoonsgegevens die op de volgende lijsten zijn opgenomen:

  • de lijst met de namen van de leden van het leidinggevend personeel;
  • (indien van toepassing) de lijst met de namen van de kaderleden;
  • de kiezerslijsten, die voor elke kiezer de naam, voornamen, geboortedatum, datum van indiensttreding en de plaats van tewerkstelling in de onderneming vermelden;
  • de kandidatenlijsten, waarop voor elke kandidaat de naam en voornaam worden vermeld, gevolgd door de letter M of V, naargelang het gaat om een kandidaat of kandidate;
  • de lijsten met de namen van de getuigen.

De verwerking van die gegevens moet in overeenstemming zijn met de bepalingen van de algemene verordening gegevensbescherming van het Europees Parlement en de Raad van 27 april 2016 (GDPR).

Wat moet u concreet doen?

Register van de verwerkingsactiviteiten

De werkgever is als verwerkingsverantwoordelijke verplicht om de verwerking van persoonsgegevens in het kader van de sociale verkiezingen op te nemen in het register van de verwerkingsactiviteiten.

In de praktijk moet de werkgever het bestaande register aanvullen met de vermelding van:

  • het verwerkingsdoeleinde;
  • de categorieën van persoonsgegevens;
  • de categorieën van betrokkenen;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • de periode gedurende welke de gegevens zullen worden opgeslagen;
  • (indien van toepassing) de doorgifte van gegevens aan derde landen.

Ons juridisch team helpt u om aan deze verplichting te voldoen door u een tabel met deze informatie ter beschikking te stellen.

Berichten die persoonsgegevens bevatten

Tijdens de (voor)verkiezingsprocedure worden met name aan de werknemers verschillende berichten meegedeeld die persoonsgegevens bevatten.

De FOD Werkgelegenheid, Arbeid en Sociaal Overleg raadt aan om in deze berichten de wettelijke verwerkingsbasis op te nemen.

In de praktijk en voor het bericht dat bijvoorbeeld op dag X wordt aangeplakt, is het aangeraden om het volgende aan te geven: "Deze gegevens worden bekendgemaakt in het kader van de informatieplicht volgens artikel 14 van de wet van 4 december 2007 betreffende de sociale verkiezingen. Aangezien dit bericht persoonsgegevens bevat, is de algemene verordening gegevensbescherming van 27 april 2016 (gekend als GDPR) van toepassing. De onderneming verwerkt de persoonsgegevens enkel voor het doeleinde waarvoor ze worden ingezameld en enkel zolang dit hiervoor nodig is”.

Kiezerslijsten

Tijdens de procedure moeten de kiezerslijsten ter beschikking worden gesteld van de werknemers op een voor hen toegankelijke plaats in de onderneming.

De terbeschikkingstelling van de kiezerslijsten kan elektronisch gebeuren, voor zover alle werknemers hiertoe tijdens hun normale werkuren toegang hebben.

De werkgever moet als verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treffen om een aangepast niveau van beveiliging te waarborgen.

Volgens de Gegevensbeschermingsautoriteit zou de elektronische terbeschikkingstelling van de kiezerslijsten als volgt moeten gebeuren:

  • niet via e-mail of via een openlijke publicatie op de website van de onderneming;
  • maar wel op een afgesloten platform of een door de werkgever beveiligd intranet dat enkel toegankelijk is voor de werknemers.

In de praktijk is het mogelijk om aan de werknemers een e-mail te versturen met een link naar dit type platform of intranet, zolang alleen de werknemers hier toegang toe hebben.

Bronnen: Wet van 4 december 2007 betreffende de sociale verkiezingen; Europese Verordening 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG; www.werk.belgie.be; Advies nr. 156/2018 van 19 december 2018 van de Gegevensbeschermingsautoriteit.