Rechtmatig, behoorlijk en transparant
Zorg voor een rechtmatige, behoorlijke en transparante gegevensverwerking. Met name de transparantievereisten zijn toegenomen ten opzichte van de Wbp. Werknemers hebben recht op gedetailleerde informatie over de verwerking van hun persoonsgegevens (zie artikel 13 en 14 GDPR). Deze informatie moet op een eenvoudig toegankelijke, duidelijke en begrijpelijke manier verschaft worden. Denk bijvoorbeeld aan een duidelijke verwijzing naar het toepasselijke data protectie beleid in de arbeidsovereenkomst, een uitgebreide algemene data protection policy, eventueel een separate employee privacy notice, overzichtelijke do’s en don’ts / key privacy rules, een complaints policy, data subject request forms en cursussen / training over data protectie.
Doelbinding
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen niet verder verwerkt worden dan op een wijze die met voornoemde doeleinden verenigbaar is. Een werkgever dient een zorgvuldige afweging te maken ten aanzien van waarom en hoe elke categorie persoonsgegevens verwerkt wordt.
Minimale gegevensverwerking
Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. De werkgever moet dus goed nadenken welke persoonsgegevens daadwerkelijk vereist zijn om het doel te bereiken, en de verwerking daartoe beperken.
Juistheid
Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Een werkgever moet alle redelijke maatregelen nemen om persoonsgegevens die onjuist zijn, onverwijld te wissen of te rectificeren.
Rechtsgrond
Elke verwerking van persoonsgegevens moet gebaseerd zijn op één van de in de GDPR opgenomen rechtsgronden. De belangrijkste rechtsgronden voor werkgevers zijn:
- de verwerking is noodzakelijk voor de uitvoering van de arbeidsovereenkomst (bijvoorbeeld het verwerken van bankrekeninggegevens om salaris te kunnen betalen);
- de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de werkgever (bijvoorbeeld het verwerken van het BSN-nummer voor de afdracht van loonbelasting);
- de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de werkgever of een derde, waarbij een belangenafweging met het recht op privacy van de werknemer dient plaats te vinden (bijvoorbeeld het screenen van sollicitanten of het monitoren van werknemers)
Let op dat specifieke regels gelden voor de verwerking van bijzondere categorieën persoonsgegevens (bijvoorbeeld gezondheid of ras) en strafrechtelijke persoonsgegevens. Zie hiervoor met name de Uitvoeringswet Algemene verordening gegevensbescherming.
Let er verder op dat toestemming van werknemers slechts in een zeer beperkt aantal situaties een geldige rechtsgrond kan zijn, namelijk als de toestemming volledig vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig is. Met name het criterium ‘volledig vrijelijk gegeven’ is erg lastig, vanwege de tussen werkgever en werknemer bestaande gezagsverhouding. Een belangrijk nadeel van deze rechtsgrond is bovendien dat de werknemer zijn toestemming te allen tijde kan intrekken, waarna de verwerking gestaakt moet worden. Verwerken op basis van een andere rechtsgrond is dan in de regel niet meer toegestaan.
Versterkte rechten
Werknemers hebben versterkte rechten als betrokkene. Kort gezegd betreft dit het recht op inzage, rectificatie, wissing, beperking, bezwaar en gegevensoverdraagbaarheid. Hiervoor gelden specifieke voorwaarden.
Overig
Let op de overige verplichtingen onder de GDPR, bijvoorbeeld de meldplicht bij een datalek. De GDPR kent ook een aantal nieuwe verplichtingen, ten opzichte van de Wbp, zoals de verplichting om een functionaris gegevensbescherming aan te stellen, een register van verwerkingsactiviteiten bij te houden, en een data protection impact assessment (gegevensbeschermingseffectbeoordeling) uit te voeren, in elk geval afhankelijk van een aantal specifieke voorwaarden.
De meeste verplichtingen rusten op de verantwoordelijke voor de gegevensverwerking. De werkgever zal in de regel optreden als verantwoordelijke ten aanzien van de verwerking van persoonsgegevens van zijn werknemers. Onder de GDPR is echter ook een aantal rechtstreekse verplichtingen ingevoerd voor verwerkers van persoonsgegevens (bijvoorbeeld een salarisadministratiebedrijf).
