GDPR IN HR: VIJF ONMISBARE PRIVACYTIPS VOOR HR IN DE PRAKTIJK

​Dit jaar is het tien jaar geleden dat de Europese Algemene Verordening Gegevensbescherming - beter bekend als de GDPR - officieel in werking trad. De verordening werd op 24 mei 2016 gepubliceerd en gaf organisaties twee jaar de tijd om zich voor te bereiden, waarna zij op 25 mei 2018 bindend van toepassing werd in alle lidstaten van de Europese Unie. Een mooi moment om even stil te staan bij enkele belangrijke aandachtspunten die de GDPR meebrengt voor de HR-praktijk. Immers, ook een decennium later blijft het van belang hier de nodige aandacht aan te besteden.

1. Informeer je werknemers

​Een belangrijke verplichting is dat de personen van wie je persoonsgegevens verwerkt worden, worden geïnformeerd over deze verwerking en hun rechten onder de GDPR. Het gaat dan niet alleen om je werknemers, maar ook over sollicitanten en – buiten HR – contactpersonen van klanten, leveranciers e.d.

Je kan hierbij gebruik maken van een privacy notice als bijlage bij de arbeidsovereenkomst of een privacy policy. Voor sollicitanten kan je deze informatie meedelen op andere manieren, bijvoorbeeld via een online formulier op de website, indien kandidaturen online worden ingediend, of door de informatie standaard door te sturen samen met de ontvangstbevestiging van een sollicitatie.

Zorg in elk geval dat je kan aantonen dat de werknemer (of enig ander data subject) de informatie heeft ontvangen. Weet dat, indien je persoonsgegevens verwerkt op basis van toestemming (zoals bv. foto’s), deze toestemming in een afzonderlijk document moet worden gedocumenteerd.

2. Respecteer je register

​Elke verwerkingsverantwoordelijke moet een verwerkingsregister bijhouden, waarin alle verwerkingsactiviteiten in kaart worden gebracht, met vermelding van wat er wordt verwerkt, voor welk doel, en hoe lang de gegevens worden bijgehouden. Dit gaat dus verder dan alleen de HR-afdeling. Wanneer je dit register opstelt, zit je dan ook best samen met andere afdelingen zoals marketing, IT, customer support enz.

Hou dit register up to date, en respecteer dit ook. Beperk je verwerkingsactiviteit tot de beschreven doeleinden, en eens de vooropgestelde bewaartermijn is afgelopen, dien je de persoonsgegevens te verwijderen.

3. Leid je werknemers op

​Je werknemers dragen bij aan de naleving van de GDPR. Leid hen dus op en train hen in de principes: verwerk geen gegevens die niet nodig zijn, wees discreet met wat je weet, verwijder op tijd je gegevens, en zorg voor de nodige veiligheidsmaatregelen. Word je toch geconfronteerd met een datalek? Zorg dat je werknemers dit zo snel mogelijk melden, zodat je als werkgever gepast en tijdig kan reageren.

4. Mailbox bij vertrek

​Wanneer een werknemer het bedrijf verlaat, gelden enkele basisregels voor zijn mailbox:

• E-mails mogen niet automatisch worden doorgestuurd naar een andere werknemer. Stel een automatisch antwoordbericht in, waarin je neutraal vermeldt dat de betrokken werknemer niet meer werkt bij je bedrijf, en dat de bestemmeling zelf de mail dient door te sturen naar een nieuwe contactpersoon voor verdere opvolging;
• Het e-mailadres van de werknemer mag nog maximum 1 maand blijven bestaan (mits automatisch antwoordbericht). In uitzonderlijke gevallen kan dit verlengd worden tot drie maanden. Na deze periode dien je het e-mailadres onherroepelijk af te sluiten.

Het is aangewezen om bovenstaande toe te voegen aan je lijst met to do’s bij de afhandeling van een vertrek.

5. Het stopt niet bij de GDPR

​Naast de GDPR kent België nog andere regels die een impact (kunnen) hebben op het recht op privéleven van de werknemer. Denk hierbij onder andere aan het volgende:

• Camerabewaking: je dient werknemers op voorhand te informeren over het aantal camera’s, de locatie, wanneer deze actief zijn enz. Verder kan je de camerabeelden maximum één maand bewaren, tenzij indien ze als bewijs kunnen worden gebruikt in een geschil. Vergeet de camerabewaking ook niet op te nemen in je verwerkingsregister en je privacy notice;
• Toezicht op gebruik van internet en e-mail: ook hier dienen werknemers op voorhand geïnformeerd te worden van de mogelijkheid dat de werkgever het gebruik van internet en e-mail monitort en voor welk doel dit kan gebeuren. Verder is het niet zomaar toegestaan om onmiddellijk op individueel niveau naar het gebruik te kijken: in principe mag de werkgever enkel op globaal niveau kijken. In sommige gevallen mag de werkgever toch naar het gebruik op individueel niveau gaan kijken, wanneer er een onregelmatigheid wordt vastgesteld.

Let op: deze regels hebben betrekking op het gebruik van de email maar niet op de inhoud. De regels om als werkgever kennis te mogen of kunnen nemen van de inhoud van een email, zijn nog verschillend.

​GDPR-compliant zijn is een voortdurende opdracht. De advocaten van Reliance maken je graag wegwijs in de verplichtingen en ondersteunen je met plezier bij het uitrollen van de gepaste strategie. Je vindt ons op www.reliancelaw.be.

Yne Machiels

Vennoot