Wist je dat je als werkgever niet zomaar alle gegevens van je werknemers mag opvragen en bijhouden?

Het verwerken (bijhouden) van persoonsgegevens, zoals naam, adres en geboortedatum, valt onder andere onder het toepassingsgebied van de GDPR-wetgeving.

Wees als werkgever aandachtig wanneer je gegevens opvraagt en bewaart. Als je dit niet correct doet, kunnen er juridische gevolgen zijn. 

In dit artikel geven we handvaten en richtlijnen die je als werkgever helpen om GDPR-proof te zijn, voor de arbeidsrelatie (bij selectie en aanwerving), tijdens en nadat de werknemer vertrokken is.

Je vindt een introductie tot de GDPR hier op onze kennisbank.

Starten

Wanneer je de GDPR-wetgeving wilt toepassen in je organisatie moet je eerst goed weten welke gegevens worden bewaard. De volgende stappen helpen je op weg om de GDPR te implementeren:

  1. Breng in kaart welke persoonsgegevens je bijhoudt.

    Vanuit HR zal je gegevens bijhouden wanneer je cv’s ontvangt, bij functioneringsgesprekken, voor de loonverwerking ... Verwerk de verschillende categorieën in een register van verwerkingsactiviteiten. Meer informatie hierover vind je hier.
     
  2. Analyseer hoe je met die gegevens omgaat binnen de organisatie.

    Bij de analyse ga je na hoe en hoe lang de gegevens worden bewaard, wie toegang heeft tot de gegevens, etc. ...
     
  3. Achterhaal welke rechtsgrond (reden) je toepast om de verschillende gegevens bij te houden.

    Noteer de verschillende redenen waarom je als werkgever gegevens bijhoudt.

Selectie en aanwerving

Bij het bekendmaken van een vacature kan je veel cv’s ontvangen. Zodra je deze binnenkrijgt moet je de sollicitant(en) informeren over ‘waarom’ en ‘hoe’ de cv’s worden bewaard.

We raden je aan om een standaard privacy policy uit te schrijven, die je vervolgens naar iedere sollicitant kan opsturen. In deze policy moet je de volgende punten aanhalen:

  • Welke gegevens uit het cv verwerkt worden;
  • Met welke doeleinden de gegevens worden verwerkt;
  • Wat de rechten zijn van de persoon in kwestie;
  • Hoe lang de gegevens bewaard worden;
  • Hoe je de gegevens bewaart;
  • Wie de sollicitant kan contacteren bij vragen over het bewaren van zijn/haar gegevens.

Hoe lang mag je een cv bijhouden?

Het antwoord op deze vraag is niet eenduidig. De GDPR bepaalt niet hoe lang je precies gegevens mag bewaren. Wel moet de organisatie erop kunnen toezien dat de gegevens op een gepaste en beschermde manier worden bewaard en dat je ze enkel bijhoudt zolang het noodzakelijk is.

Tips

  1. Zorg ervoor dat enkel de personen die instaan voor de aanwerving en selectie de cv’s kunnen inzien.
  2. Zorg ervoor dat je een procedure hebt voor het uitsturen van de policy naar de sollicitanten toe, hoe en waar de cv’s worden bewaard en dat je iemand aanstelt om de cv’s te vernietigen (verwijderen) wanneer de bewaringstermijn is verlopen.

Tijdens de arbeidsrelatie

Weet dat je als werkgever een aantal verplichtingen hebt ten aanzien van je werknemer. Omdat personeelsdossiers persoonsgegevens van werknemers bevatten, moet je bij het beheer van deze dossiers rekening houden met de GDPR. Hou rekening met volgende verplichtingen:

  • Rechtsgrond voor verwerking

    De rechtsgrond is de reden waarom je gegevens opvraagt en bijhoudt. Om persoonsgegevens van werknemers bij te houden baseer je je best op de volgende rechtsgronden:

    I. Naleven van wettelijke verplichtingen

    Je houdt gegevens bij omdat dit wettelijk verplicht is. Uit arbeidsrelaties vloeien een aantal sociaal- en fiscaal rechtelijke verplichtingen. Je kan denken aan het bijhouden van familiale gegevens en persoonlijke gegevens voor de fiscale administratie, RSZ, bedrijfsvoorheffing, etc.

    II. Uit noodzaak voor de uitvoering van de arbeidsovereenkomst

    Je houdt gegevens bij die noodzakelijk zijn voor de naleving van de arbeidsovereenkomst. Bijvoorbeeld het verwerken van bankgegevens om het salaris uit te betalen.

    III. Gerechtvaardigd belang

    Gerechtvaardigd belang houdt in dat je als werkgever gegevens bijhoudt omdat het noodzakelijk is voor de belangen van de werknemer in kwestie.

    Een voorbeeld hiervan is het bijhouden van evaluaties. Men kan stellen dat het noodzakelijk is dat evaluaties worden bijgehouden, omdat dit in het belang is van de opvolging van de carrière van de werknemer. 

  • Informatieverplichting ten aanzien van de werknemers

    Je bent verplicht om werknemers te informeren over hoe hun gegevens worden verwerkt. Het is aangeraden om deze informatieverplichting uit te werken via een privacy policy die vervolgens aan alle werknemers wordt overhandigd. 

    In de policy moet je het volgende opnemen: welke gegevens worden bewaard, voor hoe lang en met welke reden, of de gegevens in de EU verwerkt worden of er buiten, wie de verwerkingsverantwoordelijke is en wat de rechten van de werknemers zijn.

    Meer weten over de rechten waarover de werknemers beschikken, bekijk dan zeker dit schema.

  • Gegevens beschermen

    Alle gegevens die je als werkgever of organisatie opvraagt, moeten worden beveiligd. Deze beveiliging moet gebeuren door het nemen van passende technische of organisatorische maatregelen. De maatregelen variëren sterk en zijn afhankelijk van de structuur en grote van de organisatie. Het gaat vaak over IT-infrastructuur, procedures ingeval van een datalek, fysieke maatregelen zoals toegang tot de lokalen, etc. 

    Op deze website kom je meer te weten over bring your own device, de verwerking van de gegevens, loongegevens ... enzovoort.

Na de arbeidsrelatie

Wanneer een werknemer vertrekt ben je als werkgever wettelijk verplicht om nog een aantal gegevens bij te houden. Een arbeidsovereenkomst hou je bijvoorbeeld tot 5 jaar na het einde van de tewerkstelling bij.

Het kan ook goed zijn dat je nog even toegang wenst tot de mailbox van de ex-werknemer. In het geval van de toegang tot de professionele mailbox raden we aan om de volgen drie richtlijnen mee te nemen:

  • Rechtmatigheid (het kadert binnen het bewaken van de continuïteit van het werk); 
  • Proportionaliteit (de toegang tot de mailbox is niet oneindig. Bijv. niet meer dan een maand); 
  • Transparantie (je hebt een beleid omtrent de toegang tot mailboxen).

Wetgeving

Wanneer je de persoonsgegevens van werknemers verwerkt moet je rekening houden met volgende wetten:

  • De verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
  • De wet van 30 van juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

Wil je meer weten over de formaliteiten die gelden tussen de werkgever en werknemer? Lees dan dit artikel op onze kennisbank.