Upload
johan-vandendriessche
View
851
Download
11
Embed Size (px)
Citation preview
De verwerking van persoonsgegevens in het kader van HRM
Johan Vandendriessche, advocaat
20 juni 2011
Verwerking van persoonsgegevens: enkele algemene overwegingen
Toelichting van de basisprincipes inzake de verwerking van persoonsgegevens in het algemeen en toegelicht in de context
van HRM
Uitgangspunt Spanningsveld tussen het werkgeversgezag en het recht van de
werknemer op privacy Uitgangspunt Wet Verwerking Persoonsgegevens (W.
8.12.1992):“Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer” (artikel 2 WVP)
Privacyrecht bestaat ook op de werkvloer (vaste rechtspraak EHRM) Wet Individuele Arbeidsovereenkomsten: verrichten van arbeid tegen loon, onder het gezag van de werkgever
(artikelen 2 en 3) Wederzijdse eerbied en respect voor de goede zeden (artikel 16) Verplichtingen van de werknemer (o.a.) (artikel 17):
zorgvuldig, eerlijk en nauwkeurig werken, op de tijd, plaats en wijze zoals is overeengekomen
handelen volgens de bevelen en de instructies die hem worden gegeven door de werkgever (“werkgeversgezag”)
Privacy vs. verwerking van persoonsgegevens
Privacy = overkoepelend begrip
Privacy op de werkvloer
Controle (online) communicatie (CAO nr. 81)
Cameracontrole op de werkvloer (CAO nr. 68)
Drugs- en alcoholtests (CAO nr. 100)
Controle diefstal (CAO nr. 89)
Genetische tests
…
Wet Verwerking Persoonsgegevens
Privacy beschermen door beperkingen op te leggen aan de verwerking van persoonsgegevens met behulp van geautomatiseerde middelen of op manuele wijze indien de persoonsgegevens deel uitmaken van of bestemd zijn om deel uit te maken van een bestand
Wat zijn persoonsgegevens?
Persoonsgegevens (artikel 1, §1 WVP)
Informatie m.b.t. een geïdentificeerde of identificeerbare natuurlijke persoon
Ruime interpretatie Niet enkel in hoofde van de entiteit die de gegevens verwerkt
Identificatiemogelijkheid op basis van “redelijk inzetbare middelen”
Niet noodzakelijk privacygevoelig of vertrouwelijk Voor bepaalde bijzondere categorieën gegevens gelden striktere
regels (b.v. gevoelige persoonsgegevens, gezondheidsgegevens, gerechtelijke persoonsgegevens): in principe geldt een verbod om te verwerken
Verwerking Verwerking (artikel 1, §2 WVP) “elke bewerking of elk geheel van bewerkingen met betrekking tot
persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés”
Voorbeelden (chronologisch): het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens
Conclusie: elke manipulatie van persoonsgegevens Opgelet: niet elke verwerking valt onder de wet!
Verwerking, geheel of gedeeltelijk met behulp van geautomatiseerde middelen
Manuele verwerking van persoonsgegevens die deel uitmaken van of bestemd zijn om deel uit te maken van een bestand
Actoren bij de verwerking van persoonsgegevens
Voornaamste actoren Verantwoordelijke voor de verwerking (artikel 1, §4 WVP)
Verantwoordelijke bepaalt doel en middelen van verwerking
Verwerker (artikelen 1, §5 WVP) Verwerker verwerkt ten behoeve van verantwoordelijk
(‘uitbesteding’), b.v. een sociaal secretariaat
Personen die onder het rechtstreek gezag van de verantwoordelijke voor de verwerking werken (b.v. diens werknemers), vallen niet onder het begrip ‘verwerker’
Verwerker = ‘ontvanger’, maar ≠ ‘derde’
Specifieke verplichtingen ingeval van gebruik verwerker
Voorwaarden voor de verwerking
Voorwaarden waaraan persoonsgegevens moeten voldoen
Eerlijk en rechtmatig verwerken (‘eerlijkheid’ en ‘transparantie’)
Correcte implementatie van sociale instrumenten is cruciaal!
Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardige doeleinden (‘doelgebondenheid’)
Keuzevrijheid wordt beknopt door sociale wetgeving
Toereikend, ter zake dienend en niet overmatig voor doel (‘proportionaliteit’)
Nauwkeurig en, indien nodig, bij te werken (‘datakwaliteit’)
Niet langer bewaren dan noodzakelijk (‘tijdsbeperking’)
Voorwaarden voor de verwerking
Grondslagen voor de verwerking: ondubbelzinnige en vrijwillige toestemming (met kennis van zaken)
noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is of voor precontractuele maatregelen (sollicitatie of arbeidsovereenkomst)
noodzakelijk om een verplichting na te komen waaraan de verantwoordelijke voor verwerking onderworpen is door of krachtens de wet (RSZ)
noodzakelijk ter vrijwaring van vitaal belang van betrokkene (medisch spoedgeval)
noodzakelijk voor vervullen van taak van openbaar belang of taak die deel uitmaakt van uitoefening van openbaar gezag (De Post)
noodzakelijk voor behartiging van gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits afweging van het belang of de fundamentele rechten en vrijheden van de betrokkene ‘catch-all’, maar inherent risicovol door de eigen afweging van de respectieve belangen
Bijzondere categorieën van persoonsgegevens Bijzondere categorieën van persoonsgegevens Gevoelige persoonsgegevens (artikel 6 WVP)
b.v. ras, etnische herkomst, politieke of geloofsovertuigingen, seksuele geaardheid
Gezondheidsgegevens (artikel 7 WVP) Persoonsgegevens die de vroegere, huidige, toekomstige gezondheidstoestand
betreffen, d.w.z. gegevens met een rechtstreekse band met de gezondheidstoestand
b.v. medisch dossier, omschrijving ziekte
Niet: gegeven waaruit de gezondheidsband slechts onrechtstreeks kan worden afgeleid (b.v. foto van een persoon met een gipsverband rond het been)
Gerechtelijke persoonsgegevens (artikel 8 WVP) b.v. strafrechtelijke veroordelingen, administratieve sancties
In principe: verwerkingsverbod, maar uitzonderingen bestaan
Bijkomende voorwaarden voor verwerking (artikel 25 e.v. Uitvoeringsbesluit)
Bijzondere categorieën van persoonsgegevens
Uitzonderingen op het verwerkingsverbod
Gevoelige persoonsgegevens en gezondheidsgegevens
Schriftelijke toestemming (te allen tijde intrekbaar)
Noodzakelijk voor de uitvoering van de overeenkomst of in het kader van de precontractuele maatregelen
Noodzakelijk i.h.k. van specifieke arbeidsrechtelijke rechten en verplichtingen
Noodzakelijk i.h.k. van verwezenlijking doeleinden sociale zekerheid
Noodzakelijk voor preventieve geneeskunde, medische diagnose en zorgverstrekking (cf. aspecten van arbeidsgeneeskunde)
Noodzakelijk in het kader van een wettelijke verplichting
Bijzondere categorieën van persoonsgegevens Uitzonderingen op het verwerkingsverbod Gerechtelijke persoonsgegevens
Toestemming is geen geldige grond voor verwerking! Noodzakelijk in het kader van een wettelijke verplichting Noodzakelijk voor beheer eigen geschillen
Algemene waarschuwing: de toestemming is een relatief zwak mechanisme in de sociale relatie
(gezagsrelatie) Gezagsrelatie ondermijnt de mogelijkheid van ‘vrije toestemming’ CBPL adviseert verruimde transparantie om het gebrek aan ‘vrije wil’ in
de toestemming te compenseren
de toestemming wordt sterk beknot als verwerkingsgrondslag in de sociale relatie Verbod in hoofde van potentiële of huidige werkgever om toestemming
te gebruiken als grond voor verwerking gevoelige persoonsgegevens, tenzij de verwerking gericht is op het verstrekken van een voordeel aan de werknemer (b.v. verzekering t.v.v. de werknemer)
Rechten van de betrokkene Recht op informatie (‘transparantie’) (artikel 9 WVP)
Identificatie van de verantwoordelijke voor verwerking (of vertegenwoordiger) Doeleinden van verwerking Bestaan van recht op verzet (op verzoek & kosteloos) bij verwerking met oog op
directe marketing Bijkomende informatie (behalve indien niet nodig om een eerlijke verwerking te
garanderen) Categorieën van ontvangers (en bij onrechtstreekse inzameling, de categorieën van
persoonsgegevens)
Al dan niet verplicht karakter van antwoord en de gevolgen van niet-beantwoording
Bestaan van recht op toegang tot en op verbetering van persoonsgegevens
Recht op mededeling (artikel 10 WVP) Individuele controlemogelijkheid Mededeling van:
het bestaan van verwerkingen en hun inhoud
de verwerkte gegevens zelf
de logica die aan een geautomatiseerde besluitvorming ten grondslag ligt (b.v. geautomatiseerde evaluatie van werknemers zonder tussenkomst van HR-verantwoordelijke)
Rechten van de betrokkene Recht op verbetering (artikel 12 WVP)
Verbetering van onjuiste persoonsgegevens
Recht op verzet (artikel 12 WVP) Stopzetting van verwerking
Zwaarwegende en gerechtvaardige redenen
bij directe marketing doeleinden: kosteloos & zonder motivering
Uitoefening recht op mededeling en recht op verbetering Gedagtekend en ondertekend verzoek Overhandiging, per post of per telecommunicatiemiddel Reactie binnen een termijn van:
1 maand in geval van uitoefening van recht op verbetering
onverwijld, en in elk geval binnen de 45 dagen, in geval van uitoefening van het recht op mededeling
Anti-misbruikbepaling: bijkomende verzoeken kunnen slechts na verloop van het verstrijken van een redelijke termijn
Beveiligingsplicht (artikel 16 WVP)
Gepaste technische en organisatorische maatregelen
De bescherming tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens
Kort samengevat: onrechtmatige verwerkingen
Passend beveiligingsniveau
de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen
de aard van de te beveiligen gegevens en de potentiële risico's
Specifieke verplichtingen
Gebruik van een verwerker
Economische realiteit: uitbesteding van taken aan dienstverleners
Payroll service providers
Sociale secretariaten
Dienstverlener inzake verwerking van persoonsgegevens: verwerker
Soepele voorzieningen in WVP (verwerker is geen derde)
Specifieke verplichtingen (artikel 16 WVP) Beveiliging
Aansprakelijkheid
Overeenkomst
Gebruik van een verwerker
Keuze verwerker Verwerkingsovereenkomst Aansprakelijkheid van de verwerker vastleggen (artikel
15bis WVP!) Veiligheid
Technische en organisatorische maatregelen Verplichting tot effectief toezicht daarop
Opdracht van de verwerker afbakenen (handelt uitsluitend in opdracht van de verantwoordelijk conform diens instructies)
Schriftelijk of op elektronische drager
Aangifteverplichting (artikel 17 WVP) Aangifte van de verwerking bij CBPL Blauwdruk van de verwerking (per doel, niet per toepassing) Openbaar register via website CBPL
Voor elke aanvang van verwerking, bij elke wijziging of bij stopzetting van de verwerking
Uitzonderingen Loonadministratie
Uitsluitend betrekking op noodzakelijke gegevens Mededeling alleen aan gerechtigde ontvangers Geen bewaring langer dan noodzakelijk voor doeleinde
Personeelsadministratie Geen gevoelige persoonsgegevens, gezondheidsgegevens of gerechtelijke
gegevens Uitsluitend betrekking op noodzakelijke gegevens Mededeling alleen aan derden alleen indien noodzakelijk of op basis van
een wettelijke bepaling Geen bewaring langer dan noodzakelijk voor doeleinde
Uitvoer van persoonsgegevens Principe
Geen uitvoer buiten EER, tenzij passende bescherming (artikel 21 WVP) Witte lijst
Uitzonderingen (artikel 22 WVP) Toestemming
Noodzakelijk voor uitvoering overeenkomst werkgever/werknemer of voor precontractuele maatregelen
Noodzakelijk voor uitvoering overeenkomst werkgever/derde, mits aangegaan in het belang van de werknemer
Vitaal belang betrokkene
Contractuele basis (BCR, modelcontract EC, …)
Uitzonderingen zijn moeilijk toepasbaar zijn op grote schaal
Toestemming is meestal duur om nadien nog te implementeren
Zuivere uitvoer is geen implementatie van nieuwe technologie in onderneming In principe geen raadpleging OR in België (wel in sommige andere landen) Raadpleging kan nodig zijn indien uitvoer deel uitmaakt van implementatie
nieuwe technologie
Verwerking van persoonsgegevens: specifieke toepassingen m.b.t. HRM
Analyse van de impact van de Wet Verwerking Persoonsgegevens op enkele specifieke HRM-verwerkingen
Sollicitantenbestand
Sollicitantenbestand voor toekomstig gebruik
Verwerkingsgrond Toestemming
Legitieme belang
Informatieverstrekking
Opletten bij verwerking van gevoelige gegevens, gezondheidsgegevens en gerechtelijke gegevens
Beperkte bewaringstermijn Doorgaans 6-24 maanden na sollicitatie
Betrokkene kan andere indicaties geven
Geen bewaring indien betrokkene te kennen geeft geen interesse te hebben in onderneming / functie
Toegangcontrole / badgesystemen
Geautomatiseerd systeem voor toegangscontrole / meting arbeidstijd
Verwerkingsgrondslag
Toestemming
Noodzaak uitvoering overeenkomst
Legitiem belang
Voorafgaande informatie
Onderdeel veiligheidsmaatregelen!
Opgelet: biometrische applicaties worden kritisch benaderd door CBPL
Digitaal fotoboek
Digitaal fotoboek personeel
Verwerkingsgrond
Toestemming
Noodzaak uitvoering overeenkomst
Legitiem belang
Informatieverplichting
Opgelet: uitvoer van persoonsgegevens
Intranet: Bodil Lindqvist?
Statistische verwerking (i.h.k. van loonbeleid) Typevoorbeelden Eigen statistisch materiaal voor beleidsdoeleinden Gegevensverstrekking voor statistisch materiaal aan te maken door
derden Louter gebruik van statistieken wordt niet geviseerd
Statistische verwerking Toetsing van beleid door (interne of externe) statistieken Primaire verwerking
Verwerking met nieuwe persoonsgegevens Voldoen aan vereisten van een verwerking
Secundaire verwerking Verwerking van reeds ingezamelde persoonsgegevens (zelf of door een
derde) Voldoen aan vereisten van het (soepelere) regime van secundaire
verwerkingen voor statistische doeleinden
Statistische verwerking (i.h.k. van loonbeleid) Basisregels Cascadestelsel dat stapsgewijs de regels verstrengt
Zo veel mogelijk met anonieme gegevens werken, zoniet gecodeerde gegevens, zoniet met persoonsgegevens
Soepel regime om inzameling en samenvoeging van gegevens mogelijk te maken (zelfs van verschillende bronnen) Toestemmingsvereiste
Informatieplicht
Gebruiksbeperking In beginsel geen bekendmaking die betrokkenen identificeert
Ingezameld materiaal mag niet rechtstreeks benut worden ten nadele van de betrokkene Maar: algemeen beleid op basis van het statistisch materiaal (resultaat) kan
uiteraard wel een (voordelige of nadelige) impact hebben op de betrokkenen
Gunstig regime voor overkoepelend HR-beleid op groepsniveau
Centralisering HRM op groepsniveau (lokaal / internationaal)
Trend: HRM op groepsniveau Nieuwe verwerking door de overkoepelende onderneming
(b.v. beheer van doorstromingsmogelijkheden binnen de groep)
(Gehele of gedeeltelijke overname) van de verwerking door een HR-afdeling binnen de moederonderneming
In de meeste gevallen: doorgifte van persoonsgegevens aan een derde (t.t.z. moederbedrijf)
Opgelet: internationale context kan beperkingen opleggen Toepasselijk recht (‘country of origin’-beginsel o.g.v. artikel 3bis
WVP)
Uitvoer van persoonsgegevens buiten EER
Centralisering HRM op groepsniveau (lokaal / internationaal)
Nieuwe verwerking
Grondslag
Toestemming van de betrokken werknemers (artikel 5, a WVP)
Legitiem belang van de moederonderneming (artikel 5, f WVP)
Informatieplicht
Rechtstreekse inzameling (artikel 9, §1 WVP)
Onrechtreekse inzameling (artikel 9, §2 WVP)
Aangifteverplichting
Internationale context
Toepasselijk recht en uitvoer persoonsgegevens vormen een probleem bij moederondernemingen buiten de EER
Centralisering HRM op groepsniveau (lokaal / internationaal)
Gedeelde verwerking (bestaande finaliteit)
Co-verantwoordelijkheid?
Grondslag
Toestemming van de betrokken werknemers (artikel 5, a WVP)
Legitiem belang van de ondernemingen (artikel 5, f WVP)
Informatieplicht
Rechtstreekse inzameling (artikel 9, §1 WVP)
Onrechtreekse inzameling (artikel 9, §2 WVP)
Aangifteverplichting
Internationale context
Toepasselijk recht en uitvoer persoonsgegevens vormen een probleem bij moederondernemingen buiten de EER
Dank u voor uw aandacht. Vragen?