Instemmingsrecht op grond van de WOR
Uit artikel 27 lid 1 sub k Wet op de ondernemingsraden (WOR) vloeit voort dat de OR een instemmingsrecht heeft bij regelingen op het gebied van onder meer verzuimregistratie, personeelsdossiers, personeelsinformatiesystemen, salarisadministratie en managementinformatiesystemen (als deze informatie op persoonsniveau bevatten).
De lijst van instemmingsplichtige onderwerpen van artikel 27 WOR is limitatief. Het doel van de regeling is daarbij relevant (behalve in geval van personeelsvolgsystemen, waar de wettekst spreekt van 'gericht op of geschikt voor'). In principe is dus alleen een regeling die als doel heeft persoonsgegevens te verwerken of te beschermen instemmingsplichtig op grond van artikel 27 lid 1 sub k WOR. Uit jurisprudentie blijkt dat de gevolgen van de regeling op zich niet bepalend zijn, tenzij een besluit zodanige trekken vertoont van een ‘artikel 27 regeling’ en daarmee zodanig overeenstemt dat het voor de toepassing van artikel 27 WOR daarmee gelijkgesteld moet worden. Bij een regeling die significante gevolgen heeft voor de verwerking of bescherming van persoonsgegevens van in de onderneming werkzame personen zal daaraan naar mijn mening al snel voldaan zijn. Ook als de regeling leidt tot een feitelijke wijziging van het bestaande beleid omtrent de verwerking of bescherming van persoonsgegevens, zal sprake zijn van een instemmingsplichtige regeling.
Implementatie AVG
In het kader van de implementatie van de AVG kan de invoering of wijziging van een groot aantal verschillende soorten regelingen binnen de onderneming aan de orde zijn. Voorbeelden die betrekking hebben op werknemers zijn:
- een uitgebreid algemeen privacy beleid (op grond van artikel 13 en 14 AVG);
- een wijziging van de standaard arbeidsovereenkomst (toestemming van de werknemer mag in principe niet de rechtsgrond zijn);
- een employee privacy notice (waarin specifiek de belangrijkste informatie voor werknemers en sollicitanten staat) ; en
- een wijziging van de contracten met derde partijen (zoals een arbodienst, externe salarisadministratie of groepsvennootschap buiten de EU waaraan persoonsgegevens van werknemers doorgegeven worden).
Voor zover de invoering of wijziging van een regeling rechtstreeks voortvloeit uit een wettelijke verplichting, heeft de OR geen instemmingsrecht. Een voorbeeld is de verplichting om een register van verwerkingsactiviteiten bij te houden of een functionaris voor gegevensbescherming aan te wijzen (in beide gevallen mits de onderneming aan bepaalde criteria voldoet).
De AVG stelt echter op de meeste punten slechts een kader, en biedt vervolgens beleidsvrijheid ten aanzien van hoe dat kader ingevuld wordt. Denk bijvoorbeeld aan de verplichting om de verwerking van persoonsgegevens te beperken tot hetgeen ‘noodzakelijk’ is voor de doeleinden waarvoor zij worden verwerkt, persoonsgegevens niet langer te bewaren dan ‘noodzakelijk’ is voor deze doeleinden en ‘passende’ beschermingsmaatregelen te nemen. De OR heeft een instemmingsrecht bij de invulling van die beleidsvrijheid door de onderneming.
Relevante artikelen over dit onderwerp:
- S. Schermerhorn & S.R. Blankestijn, 'De rol van de ondernemingsraad bij de implementatie van de Algemene Verordening inzake Gegevensbescherming’, ArbeidsRecht 2018/15, p. 22-26.
- D.J.A. Vesters & C.P.C. Meyer-de Swaan, 'De medezeggenschapsaspecten van de AVG’, Tao 2018, nr. 2, p. 65-72.
