Er zijn allerlei situaties waarin de werkgever persoonsgegevens verwerkt of wil gaan verwerken.

Neem bijvoorbeeld het opnemen van gespreksverslagen in een personeelsdossier of het lezen van sollicitatiebrieven en cv’s van sollicitanten. En wat denkt u van de situatie waarin de werkgever vermoedt dat sprake is van diefstal en camera’s wil ophangen om vast te kunnen stellen wie de diefstallen pleegt? Ook cameratoezicht houdt een verwerking van persoonsgegevens in.

 

In bepaalde gevallen (zoals bij cameratoezicht) is de werkgever op grond van de AVG verplicht vooraf een DPIA – Data Protect Impact Assessment; ook wel gegevensbeschermingseffectbeoordeling genoemd – uit te voeren. In dit blog ga ik daar op in.

Wanneer is de werkgever verplicht tot het uitvoeren van een DPIA?

De werkgever is op grond van de AVG verplicht een DPIA uit te voeren, wanneer de verwerking van gegevens van werknemers of derden waarschijnlijk een hoog privacyrisico oplevert voor die werknemers of derden. Wij beperken ons hierna tot de persoonsgegevens van werknemers.

 

Het is aan de werkgever te bepalen wanneer van een hoog privacyrisico sprake is. De AVG noemt een aantal omstandigheden die maken dat de werkgever in ieder geval verplicht is een DPIA uit te voeren. De Autoriteit Persoonsgegevens (AP) heeft dit uitgewerkt door een lijst met gegevensverwerkingen op te stellen. De werkgever is op grond van die lijst onder meer verplicht tot een DPIA, indien hij cameratoezicht instelt (zowel heimelijk als “zichtbaar”) of activiteiten van werknemers op een andere manier monitort, bijvoorbeeld door het e-mail- of internetgebruik te controleren. Andere voorbeelden zijn een gps-tracker in bedrijfswagens, volgsoftware die de werkzaamheden van werknemers registreert op hun computer (bijvoorbeeld in het kader van thuiswerken) en apps of wearables die de gezondheid meten (zoals een smartwatch). Dit zijn voorbeeld van gevallen waarin de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert en de werkgever verplicht is een DPIA uit te voeren.

Het doel van de DPIA

Het doel van de DPIA is dat de werkgever vooraf de privacyrisico’s in kaart brengt die gepaard gaan met het verwerken van de persoonsgegevens en dat hij die risico’s, voor zover mogelijk, voorkomt of beperkt.

 

De werkgever moet kunnen aantonen dat hij een DPIA heeft uitgevoerd. Kan hij dat niet, dan riskeert hij een (forse) boete van de AP.

 

Blijkt uit de DPIA dat de verwerking van de persoonsgegevens een hoog risico voor de privacy van de werknemers oplevert en is het niet mogelijk die risico’s te beperken, dan is de werkgever bovendien verplicht de AP vooraf over de gegevensverwerking te informeren (de “voorafgaande raadpleging”).

Wat moet in ieder geval in de DPIA worden opgenomen?

In de DPIA moet een groot aantal vragen over de gegevensverwerking worden beantwoord. Ik noem hierna een aantal belangrijke:

  • welke persoonsgegevens de werkgever wil verwerken;
  • wat het doel is van die gegevensverwerking;
  • welk gerechtvaardigd belang de werkgever bij die gegevensverwerking heeft;
  • of het belang van de werkgever bij de gegevensverwerking in verhouding staat tot de inbreuk op de privacy van de werknemers (proportionaliteit);
  • of de gegevensverwerking noodzakelijk is om het doel dat met de gegevensverwerking wordt nagestreefd, te bereiken. Dit betekent dat dit doel niet op een minder vergaande manier kan worden bereikt (subsidiariteit);
  • een beoordeling van de privacyrisico’s van de betrokkenen;
  • de beoogde maatregelen om deze risico’s te beperken, bijvoorbeeld door te beschrijven hoe de gegevens worden beschermd;
  • de rechten van de betrokkenen (bijvoorbeeld het recht van werknemers op inzage in de gegevensverwerking);
  • de rol van de OR.

Rol Ondernemingsraad

De Ondernemingsraad heeft instemmingsrecht wanneer de werkgever van plan is een regeling in te voeren over het gebruik van personeelsgegevens (denk bijvoorbeeld aan de gegevens die in het personeelsdossier worden opgenomen) en/of voor een personeelsvolgsysteem. Van dat laatste is bijvoorbeeld sprake bij cameratoezicht.

 

Eerder schreven wij een bijdrage over de Handreiking AP: het OR-privacyboekje. Deze handreiking geeft de belangrijkste privacyregels uit de AVG weer en gaat in op de rol van de Ondernemingsraad bij de verwerking van de persoonsgegevens door de werkgever.

Informatieplicht werkgever

Tot slot: de werkgever is op grond van de AVG verplicht de werknemers te informeren over de gegevensverwerking. Dit kan bijvoorbeeld goed in een (interne) privacyverklaring of statement die is toegesneden op de werknemer.

Vragen?

Wij adviseren u graag over de noodzaak wel of geen DPIA uit te voeren. Ook kunnen wij u bij het opstellen van een DPIA of privacyverklaring begeleiden. Neemt u gerust contact op met Sophie Mulder of Carola van Andel, advocaten binnen ons privacyteam, om te sparren over de mogelijkheden.