Eind april heeft de Autoriteit Persoonsgegevens (AP) het OR-privacyboekje aangeboden aan de Sociaal-Economische Raad (SER), die de wettelijke taak heeft de medezeggenschap in bedrijven en organisaties te bevorderen.

Privacyregels in een notendop

Alhoewel het OR-privacyboekje voornamelijk is geschreven om ondernemingsraden te ondersteunen, kunnen werkgevers de inhoud van het boekje ook zeker goed gebruiken. Het OR-privacyboekje geeft namelijk in een notendop de belangrijkste privacyregels uit de AVG weer en gaat in op de rol van de ondernemingsraad bij de verwerking van de persoonsgegevens, door u als werkgever, van uw werknemers.

 

Eén van de aspecten waar de AP bijvoorbeeld op wijst is dat het van belang is dat de OR nagaat of de organisaties met wie de werkgever persoonsgegevens van werknemers deelt, gevestigd zijn in de EU. Waarom dit van belang is en waar vervolgens op te letten als persoonsgegevens toch buiten de EU worden gedeeld, leest u in deze bijdrage.

Instemmingsrecht OR

Zoals u ongetwijfeld weet, heeft de ondernemingsraad (OR) een instemmingsrecht op grond van artikel 27 WOR als het gaat om het verwerken van persoonsgegevens. De werkgever moet de OR om een oordeel vragen bij het vaststellen, wijzigen of intrekken van personele regelingen die te maken hebben met (tekst uit de wet):

1. Een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de personen die in de onderneming werkzaam zijn (geregeld in artikel 27, eerste lid onder k van de WOR).

2. Regelingen inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de personen die in de onderneming werkzaam zijn (ofwel personeelsvolgsystemen; geregeld in artikel 27, eerste lid onder l van de WOR).

 

Regelingen voor het verwerken van persoonsgegevens van medewerkers komen in elke organisatie voor. Denk bijvoorbeeld aan het registreren van verzuim, de salarisadministratie en de gegevens die worden bewaard in personeelsdossiers.

 

Daarnaast kunnen werkgevers systemen gebruiken die gericht zijn op – of geschikt zijn voor – waarneming van werknemers of controle van hun aanwezigheid, gedrag of prestaties. Dit noemen we personeelsvolgsystemen. Voorbeelden hiervan zijn cameratoezicht, gps-systemen in (vracht)auto’s, wearables (zoals een smartwatch) en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registreert.

 

Het negeren van het instemmingsrecht kan grote gevolgen hebben. Als een werkgever dit toch doet, mag de OR schriftelijk een beroep doen op de nietigheid van het besluit. Hiermee wordt elke stap die de werkgever nog zet in het kader van die regelingen onrechtmatig. De OR moet binnen een maand de nietigheid (schriftelijk) inroepen.

 

Het is dus belangrijk dat u als werkgever het instemmingsrecht serieus neemt.

Voorbereiden op vragen OR

Met het OR-privacyboekje kunt u zich als werkgever voorbereiden op de toetsingsvragen die de OR kan stellen als u van plan bent een personeelsvolgsysteem te gaan gebruiken. De handreiking somt de volgende vragen op:

  1. Is er sprake van een personeelsvolgsysteem?
  2. Is het nodig een personeelsvolgsysteem te gebruiken?
  3. Worden de werknemers van tevoren op de hoogte gesteld van de observatie?
  4. Wordt de personeelsbeoordeling uitsluitend gebaseerd op de gegevens die met persoonsvolgsystemen zijn verzameld?

Als het goed is, heeft u deze vragen ook al de revue laten passeren in een (bij een personeelsvolgsysteem verplichte) data protection impact assessment (DPIA). Ook goed om te realiseren is dat de OR advies kan inwinnen bij de functionaris gegevensbescherming (FG).

 

Mocht u vragen hebben dan helpt het Team Privacy van Nysingh u hier graag verder mee.