PRIVACY-VERORDENING: VERGEET DE OR NIET!


23 maart 2018

​Inleiding

Op 25 mei 2018 gaat de Algemene Verordening inzake Gegevensbescherming (AVG) gelden. Nu deze datum steeds dichterbij komt, nemen organisaties de noodzakelijke stappen om op genoemde datum aan de nieuwe privacyregels te voldoen. Veel organisaties zijn zich bewust van het feit dat ook de OR een rol heeft als het gaat om bescherming van persoonsgegevens op het werk. Maar wat is nu precies de rol van de OR bij de implementatie van de nieuwe privacy-verordening?

 

AVG

Vanaf 25 mei 2018 geldt in de hele Europese Unie dezelfde privacywetgeving. De AVG zorgt onder meer voor:

·       versterking en uitbreiding van privacyrechten;

·       meer verantwoordelijkheden voor organisaties;

·       mogelijkheden tot het opleggen van hoge boetes (tot € 20.000.000,00).

Wilt u meer lezen over de AVG, kijk dan op de site van de Autoriteit persoonsgegevens.

 

Wet op de Ondernemingsraden

Op grond van de Wet op de Ondernemingsraden heeft de OR een instemmingsrecht als sprake is van een regeling “omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen”. Dit instemmingsrecht heeft betrekking op het aanleggen van persoonsregistraties en regelingen over het verzamelen, bewaren, gebruiken en beveiligen van persoonsgegevens die de ondernemer opstelt. Ook is instemming vereist als het gaat om een regeling ”inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen”. Denk hierbij aan camera’s en tijdsregistratiesystemen. Van belang is dat het steeds gaat om “een regeling”. Daarvan is sprake als het gaat om een besluit van algemene strekking dat betrekking heeft op alle of een groep van de in de onderneming werkzame personen. Is sprake van een besluit ten aanzien van een individuele werknemer dan valt het buiten de reikwijdte van het instemmingsrecht.

 

Rol OR bij implementatie AVG

De Autoriteit Persoonsgegevens (AP) heeft op haar website een document gepubliceerd, genaamd “in 10 stappen voorbereid op de AVG”. Dit document neemt organisaties aan de hand om de organisatie “AVG-proof” te maken. Een van de genoemde stappen is het maken van een overzicht van de verwerkingen. Voor de beoordeling naar de betrokkenheid van de OR is deze stap relevant. Wanneer goed in kaart is gebracht welke gegevensverwerkingen er binnen de organisatie zijn, kan vervolgens de schakel gemaakt worden naar de vraag welke wijzigingen daarop gemaakt (moeten) worden en welke verplichtingen voor de ondernemer ontstaan. Daarbij geldt dat ieder privacy beleid (waarbij in ieder geval uiteengezet wordt op welke wijze de werkgever omgaat met de persoonsgegevens van de in zijn onderneming werkzame personen) instemmingsplichtig zal zijn. Iedere wijziging van een dergelijk beleid valt dus onder het instemmingsrecht. Ik merk hierbij op dat het wel moet gaan om vaststellen of wijzigen van een beleid en dus niet om de daaruit voortvloeiende uitvoeringshandelingen.

 

Concrete afspraken

Nu veel organisaties nog aan de vooravond van de implementatie van de AVG staan en nog vele stappen in het proces moeten zetten, adviseer ik om de OR in een vroegtijdig stadium bij het proces en de implementatie te betrekken. Wanneer de bestaande regelingen op het gebied van privacy in kaart zijn gebracht, ga dan met je OR zitten om dit te bespreken. Ik adviseer om dan vervolgens wijziging van deze regelingen als instemmingsverzoek aan de OR voor te leggen en daarbij steeds in kaart te brengen en te bespreken welke concrete handelingen voortvloeien uit het gewijzigde beleid. Zo is de OR direct betrokken, kan er snel geschakeld worden bij een instemmingsaanvraag en weet zowel organisatie als OR wat er nog op hun pad gaat komen. Kijk wel goed naar de inhoud van het instemmingsverzoek en vraag bij twijfel hier advies over. Als instemming eenmaal gevraagd is, blijft het onderwerp tot in lengte van dagen instemmingsplichtig, ook al was dit het strikt genomen niet.