De AVG; wat doen we ermee? En wat dienen we juist te doen?
Rechtmatige verwerkingen
Op grond van de AVG kan het verwerken van persoonsgegevens zijn toegestaan als daartoe een wettelijke plicht bestaat, of als de verwerking noodzakelijk is voor het uitvoeren van een overeenkomst. Dit wordt namelijk gezien als een wettelijke grondslag. Maar ook dan mogen nooit meer gegevens verwerkt worden, of langer bewaard worden dan strikt noodzakelijk én dienen de verwerkte gegevens passend beveiligd te worden.[1]
Een verwerking kan ook toegestaan zijn op grond van toestemming van de betrokkene, welke toestemming in volledige vrijheid dient te zijn verleend.[2] Een eenmaal gegeven toestemming voor een verwerking van persoonsgegevens voor een bepaald doel kan altijd worden ingetrokken.[3]
Tenslotte is gegevensverwerking toegestaan wanneer deze verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de werkgever.[4]
Het belang van de werknemer zal daarvoor dienen te wijken, indien andere vormen van preventie onvoldoende effect hebben, of het bewijs van het onrechtmatige gedrag niet met minder vergaande middelen kan worden verkregen. Wel zal een werkgever indien hij deze vorm van gegevensverwerking gaat toepassen, wat een hoog privacy risico oplevert, uiterst zorgvuldig dienen te zijn.[5]
Voorbeeld van een grijs gebied:
Minitoren van telefoon en e-mail
Het Europese Hof voor de rechten van de mens (hierna EHRM) heeft ten aanzien van telefoongesprekken en e-mailberichten vanaf de werkplek als uitgangspunt aangenomen dat deze vallen onder de begrippen: privéleven en correspondentie. Dit geldt ook voor informatie die wordt verkregen door controle op het internetgebruik van de werknemer.[6]
Het volledig heimelijk afluisteren van telefoongesprekken of controleren van e-mail zal al gauw als een inbreuk op de privacy worden beschouwd.[7]
Verantwoordingsplicht
Verwerking van persoonsgegevens dient met de komst van de AVG transparant te gebeuren.[8] Het is daarom aan te raden om een duidelijk privacy beleid op te stellen en te overhandigen aan werknemers, met daarin alle vereiste informatie opgenomen.
Indien gegevens door de werkgever worden doorgegeven aan een 3e partij in het kader van salarisadministratie, dan dient daar in de regel een ‘verwerkersovereenkomst’ aan ten grondslag te liggen. Deze overeenkomst dient voldoende garantie te bieden dat de AVG wordt nageleefd.
Boetes
Ingeval van overtreding van de AVG kan de Autoriteit Persoonsgegevens (hierna AP) een boete opleggen van maximaal €20 miljoen.[9]
[1] Voorbeeld: een werkgever is wettelijk verplicht over het BSN van de werknemer te beschikken en heeft de NAW-en rekeninggegevens van de werknemer nodig om de arbeidsovereenkomst uit te kunnen voeren.
[2] Bij werknemers is dit vaak discutabel, gelet op de gezagsverhouding tussen werkgever en werknemer.
[3] Het is om deze reden dan ook aan te raden om, zeker in een arbeidsrelatie, voorkeur te geven aan een andere rechtsgrond voor de verwerking van persoonsgegevens dan de toestemming van de betrokkene.
[4] Zo is beveiliging van bedrijfseigendommen of de bestrijding van diefstal en fraude een gerechtvaardigd belang voor cameraopnamen vormen.
[5] Denk hierbij aan heimelijke controle. Heimelijk cameratoezicht kan strafbaar zijn indien de werknemer niet op voorhand erop is gewezen dat er mogelijk toezicht gaat plaatsvinden. Daarnaast dient de werkgever de plannen te bespreken met een eventuele ondernemingsraad. Het is niet vereist dat de werkgever uitdrukkelijk de plaatsing van een camera aan de werknemers meldt.
[6] Dit geldt ook voor informatie die wordt verkregen op het internetgebruik van de werknemer. Indien de werknemer niet is gewaarschuwd dat telefoon- of internetgebruik gecontroleerd wordt/kan worden, moet de redelijke verwachting dat het gebruik van deze communicatiemiddelen privé is, in principe gerespecteerd worden; zie de uitspraak inzake Barbulescu/Roemenië (EHRM 5 september 2017, zaaknummer 61496/08).
[7] Er zijn echter omstandigheden denkbaar waarin het belang van de waarheidsvinding zwaarder weegt dan het belang van de werknemer bij bescherming van zijn persoonlijke levenssfeer; denk hierbij aan concrete vermoedens van schending van bedrijfsgeheimen door de werknemer.
[8] Dit houdt onder meer in dat een werknemer vooraf moet worden geïnformeerd over de verschillende aspecten van de gegevensverwerking én zijn rechten in dat verband, zoals het recht op correctie, verwijdering en transport (dataportabiliteit) van verwerkte persoonsgegevens.
[9] Er zijn 2 categorieën overtredingen en bijbehorende maximale boetes:
1) Verantwoordelijkheden hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht. Komt een verantwoordelijke deze verplichtingen niet na, dan kan de AP een boete opleggen van maximaal 10 miljoen óf een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG dan wel de privacy rechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt), dan kan de AP een boete opleggen van maximaal €20 miljoen óf een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.