De AVG is inmiddels alweer een aantal maanden ingevoerd en lijkt het rumour wat zijn gedaald. Toch hebben we er nog dagelijks mee te maken, bijvoorbeeld op de werkvloer. Wat mag een werkgever allemaal bewaren over zijn medewerker?
Zoals we in een eerder blog al hebben vastgesteld, vallen zeer veel handelingen onder de verwerking van persoonsgegevens. Een persoonsgegeven kan van alles zijn: een naam, een adres, een e-mailadres, maar ook bijvoorbeeld een telefoonnummer, OV-reisgegevens, of de notitie dat er een afspraak is gemaakt met de bedrijfsarts. Daarnaast geldt dat bijna alles dat er met deze gegevens kan worden gedaan, moet worden gezien als een verwerking. Denk daarbij aan het verzamelen, het opslaan, het raadplegen, het verstrekken, maar ook bijvoorbeeld het wissen of vernietigen van persoonsgegevens.
Toestemming werknemer voldoet niet
Om persoonsgegevens te mogen verwerken, is er een rechtmatige grondslag vereist. De toestemming van degene van wie de gegevens worden verwerkt volstaat daarbij doorgaans, maar in de verhouding werkgever/werknemer zal dit niet opgaan. Toestemming kan namelijk alleen een rechtmatige grondslag zijn voor een verwerking van persoonsgegevens wanneer deze vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Daarbij dient elke twijfel te zijn uitgesloten over de vraag of er daadwerkelijk onder deze voorwaarden toestemming is gegeven. Vanwege de gezagsverhouding tussen een werkgever en een werknemer zal hier geen sprake van zijn. Dit betekent dat er alleen persoonsgegevens van werknemers verwerkt mogen worden als daar een andere rechtmatige grondslag voor bestaat. Deze grondslag is bijvoorbeeld aanwezig wanneer de verwerking noodzakelijk is voor de uitvoering van de arbeidsovereenkomst, de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting of de werkgever een gerechtvaardigd belang heeft waarvoor de verwerking noodzakelijk is en het belang van de werkgever zwaarder weegt dan het belang van de werknemer. Voor iedere verwerking zal nagegaan moeten worden op welke grondslag deze kan worden gebaseerd.
Waar moet een werkgever op letten?
Naast het voorgaande is het van belang dat personeelsgegevens niet langer bewaard mogen worden dan noodzakelijk en dat de gegevens niet voor een ander doel gebruikt mogen worden dan dat ze zijn verzameld. Personeelsdossier moeten dus regelmatig opgeschoond worden. En daarnaast geldt dat niet alle informatie uit een personeelsdossier voor alle doelen gebruikt mag worden. Denk bijvoorbeeld aan de reisgegevens die een werkgever heeft als gevolg van onkostendeclaraties. Die reisgegevens (welke zijn verkregen met het oog op het voldoen van onkosten) mogen niet gebruikt worden om bijvoorbeeld aan te tonen dat de werknemer zich niet geheel houdt aan de geldende arbeidstijden.
Ook moeten werknemers geïnformeerd worden over iedere verwerking bij de werkgever. De werkgever moet de werknemers onder meer actief informeren over de gegevens die worden verwerkt, voor welk doeleinde dit gebeurt, de rechtsgrond voor de verwerking, wie de gegevens zullen ontvangen en welke bewaartermijn er wordt gehanteerd. Maar daarnaast moet de werkgever de werknemers ook informeren over de rechten die zij hebben.
Zo heeft de werknemer het recht op inzage, het recht op correctie en het recht om gegevens te laten wissen (“recht op vergetelheid”). Aan dit laatste recht zijn uiteraard wel de nodige voorwaarden verbonden. Een werknemer zal dit recht niet kunnen misbruiken om bijvoorbeeld een ongunstige beoordeling of waarschuwing uit zijn/haar dossier te krijgen. Dit zou overigens wel weer het geval kunnen zijn als de beoordeling of waarschuwing al van langer geleden is of mogelijk totaal niet meer relevant is omdat de werknemer een andere functie is gaan bekleden.