Rechten van medewerkers op hun persoonsgegevens

Als op 25 mei 2018 Algemene Verordening Gegevensbescherming (AVG) van kracht wordt krijgen werknemers meer rechten op het gebied van hun eigen persoonsgegevens. Voor de ondernemingsraad ligt er een taak om ervoor te zorgen dat medewerkers daarover geïnformeerd worden en de werkgever meewerkt aan deze rechten. 

 

Het is weliswaar de werkgever die een aantal persoonsgegevens van medewerkers verwerkt. Vooral om dat die nodig zijn voor bijvoorbeeld de arbeidsovereenkomst of de betaling van het salaris. Maar werknemers hebben ook rechten met betrekking tot deze gegevens.

 

Werknemers hebben het recht om hun digitale persoonsgegevens die de werkgever van hen heeft aan hen of anderen over te dragen. Dat wordt dataportabiliteit genoemd. Dat betekent dat de werknemer kan vragen om die persoonsgegevens aan henzelf te geven/sturen of rechtstreeks naar een andere organisatie te sturen. Het gaat ook om andere verzamelde gegevens, zoals de zoekgeschiedenis of locatiegeschiedenis van de werknemer die via zijn account verzameld is.

Meer over dataportabiliteit: klik hier

 

Ieder werknemer heeft het recht om vergeten te worden. Gegevens moeten gewist worden als de organisatie die gegevens niet meer nodig heeft. Maar ook als de medewerkers hun toestemming voor verwerking intrekken of bezwaar maken en als een organisatie de gegevens onrechtmatig verwerkt. Het recht op vergetelheid geldt natuurlijk ook voor de back-upbestanden.

Natuurlijk moet een werkgever persoonsgegevens na vertrek van de werknemer bewaren, maar nadat de termijn is verstreken is waarop die nog nodig zijn moeten deze gegevens gewist worden. 

Meer over het recht op vergetelheid: klik hier

 

Werknemers hebben het recht om hun gegevens te zien die door de werkgever zijn verzameld. De werkgever moet duidelijk maken waarom gegevens worden verwerkt, om welke soorten persoonsgegevens het gaat en aan welke organisaties persoonsgegevens eventueel worden doorgegeven. Denk bijvoorbeeld aan de salarisverwerker die de berekeningen van de salarissen maakt en de uitbetaling regelt. Ook moet duidelijk zijn voor welke termijn deze persoonsgegevens worden bewaard. Daarnaast moet ook worden aangegeven op basis waarvan de organisatie een geautomatiseerd besluit over iemand neemt. Nu de meeste personeelsdossiers gedigitaliseerd zijn of worden hoort het eigen dossier voor iedere werknemer toegankelijk te zijn. 

Meer over het recht op inzage: klik hier

 

Het recht van betrokkenen om onjuiste persoonsgegevens die de organisatie verwerkt te wijzigen. Persoonsgegevens moeten door de betrokken mensen ook kunnen worden aangevuld.

Meer over rectificatie en aanvulling: klik hier

 

Als gegevens onjuist, onvolledig of niet meer nodig zijn kan de werknemer bezwaar maken tegen het verwerking van deze gegevens. Werkgevers moeten hun werknemers informeren over deze bezwaarmogelijkheid. Onjuiste gegevens mogen niet worden gebruikt. 

Meer over de beperking van de verwerking: klik hier

 

Als bedrijven en organisaties gebruik maken van geautomatiseerde profilering bij bijvoorbeeld online sollicitaties, dan hebben sollicitanten het recht op een menselijke beoordeling i.p.v. een softwarealgoritme. Mogelijk valt het oordeel dan anders uit. Denk aan postcodegebieden waarop verzekeraars automatisch de premies aanpassen vanwege een hoger risico op schade. Als aannemelijk gemaakt kan worden dat dit hoger risico niet bestaat, dan moet de verzekeraar een aanvraag handmatig beoordelen. 

Meer over profilering en geautomatiseerde besluitvorming: klik hier

 

De AVG verplicht organisaties tot het geven van informatie over het feit dat persoonsgegevens worden verzameld. Nieuwe en bestaande medewerkers, relaties of klanten moeten duidelijk worden geïnformeerd over wat precies met hun persoonsgegevens wordt gedaan. Dat kan in de meeste gevallen via een online privacyverklaring.

Meer over de verplichting tot informeren: klik hier

De ondernemingsraad heeft instemmingsrecht bij de regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelsvolgsystemen. De invoering van de AVG verplicht de werkgever tot het nemen van een aantal maatregelen. Zet de invoering van de AVG op de agenda. Bespreek dan onder meer de rechten van de werknemers, maar ook de noodzaak tot het aanstellen van een functionaris gegevensbescherming. 

Het feit dat invoering verplicht is vormt voor de bestuurder geen reden om geen instemming te vragen; hij heeft immers de beslisruimte hoe de AVG voor de organisatie wordt ingevoerd. Voor de wijzigingen die daarvoor nodig zijn moet hij instemming aan de OR vragen.