De verwerking van persoonsgegevens in het kader van HRM
Upcoming SlideShare
Loading in...5
×
 

De verwerking van persoonsgegevens in het kader van HRM

on

  • 1,183 views

 

Statistics

Views

Total Views
1,183
Views on SlideShare
1,183
Embed Views
0

Actions

Likes
1
Downloads
9
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

De verwerking van persoonsgegevens in het kader van HRM De verwerking van persoonsgegevens in het kader van HRM Presentation Transcript

  • De verwerking van persoonsgegevens in het kader van HRM Johan Vandendriessche, advocaat 20 juni 2011
  • Verwerking van persoonsgegevens: enkele algemene overwegingen Toelichting van de basisprincipes inzake de verwerking vanpersoonsgegevens in het algemeen en toegelicht in de context van HRM
  • Uitgangspunt Spanningsveld tussen het werkgeversgezag en het recht van de werknemer op privacy Uitgangspunt Wet Verwerking Persoonsgegevens (W. 8.12.1992): “Iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens die op hem betrekking hebben, recht op bescherming van zijn fundamentele rechten en vrijheden, inzonderheid op bescherming van zijn persoonlijke levenssfeer” (artikel 2 WVP) Privacyrecht bestaat ook op de werkvloer (vaste rechtspraak EHRM) Wet Individuele Arbeidsovereenkomsten:  verrichten van arbeid tegen loon, onder het gezag van de werkgever (artikelen 2 en 3)  Wederzijdse eerbied en respect voor de goede zeden (artikel 16)  Verplichtingen van de werknemer (o.a.) (artikel 17):  zorgvuldig, eerlijk en nauwkeurig werken, op de tijd, plaats en wijze zoals is overeengekomen  handelen volgens de bevelen en de instructies die hem worden gegeven door de werkgever (“werkgeversgezag”)
  • Privacy vs. verwerking van persoonsgegevens Privacy = overkoepelend begrip  Privacy op de werkvloer  Controle (online) communicatie (CAO nr. 81)  Cameracontrole op de werkvloer (CAO nr. 68)  Drugs- en alcoholtests (CAO nr. 100)  Controle diefstal (CAO nr. 89)  Genetische tests  …  Wet Verwerking Persoonsgegevens  Privacy beschermen door beperkingen op te leggen aan de verwerking van persoonsgegevens met behulp van geautomatiseerde middelen of op manuele wijze indien de persoonsgegevens deel uitmaken van of bestemd zijn om deel uit te maken van een bestand
  • Wat zijn persoonsgegevens? Persoonsgegevens (artikel 1, §1 WVP)  Informatie m.b.t. een geïdentificeerde of identificeerbare natuurlijke persoon  Ruime interpretatie  Niet enkel in hoofde van de entiteit die de gegevens verwerkt  Identificatiemogelijkheid op basis van “redelijk inzetbare middelen”  Niet noodzakelijk privacygevoelig of vertrouwelijk  Voor bepaalde bijzondere categorieën gegevens gelden striktere regels (b.v. gevoelige persoonsgegevens, gezondheidsgegevens, gerechtelijke persoonsgegevens): in principe geldt een verbod om te verwerken
  • Verwerking Verwerking (artikel 1, §2 WVP)  “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés” Voorbeelden (chronologisch): het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens Conclusie: elke manipulatie van persoonsgegevens Opgelet: niet elke verwerking valt onder de wet!  Verwerking, geheel of gedeeltelijk met behulp van geautomatiseerde middelen  Manuele verwerking van persoonsgegevens die deel uitmaken van of bestemd zijn om deel uit te maken van een bestand
  • Actoren bij de verwerking van persoonsgegevens Voornaamste actoren  Verantwoordelijke voor de verwerking (artikel 1, §4 WVP)  Verantwoordelijke bepaalt doel en middelen van verwerking  Verwerker (artikelen 1, §5 WVP)  Verwerker verwerkt ten behoeve van verantwoordelijk (‘uitbesteding’), b.v. een sociaal secretariaat  Personen die onder het rechtstreek gezag van de verantwoordelijke voor de verwerking werken (b.v. diens werknemers), vallen niet onder het begrip ‘verwerker’  Verwerker = ‘ontvanger’, maar ≠ ‘derde’ Specifieke verplichtingen ingeval van gebruik verwerker
  • Voorwaarden voor de verwerking Voorwaarden waaraan persoonsgegevens moeten voldoen  Eerlijk en rechtmatig verwerken (‘eerlijkheid’ en ‘transparantie’)  Correcte implementatie van sociale instrumenten is cruciaal!  Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardige doeleinden (‘doelgebondenheid’)  Keuzevrijheid wordt beknopt door sociale wetgeving  Toereikend, ter zake dienend en niet overmatig voor doel (‘proportionaliteit’)  Nauwkeurig en, indien nodig, bij te werken (‘datakwaliteit’)  Niet langer bewaren dan noodzakelijk (‘tijdsbeperking’)
  • Voorwaarden voor de verwerking Grondslagen voor de verwerking:  ondubbelzinnige en vrijwillige toestemming (met kennis van zaken)  noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is of voor precontractuele maatregelen (sollicitatie of arbeidsovereenkomst)  noodzakelijk om een verplichting na te komen waaraan de verantwoordelijke voor verwerking onderworpen is door of krachtens de wet (RSZ)  noodzakelijk ter vrijwaring van vitaal belang van betrokkene (medisch spoedgeval)  noodzakelijk voor vervullen van taak van openbaar belang of taak die deel uitmaakt van uitoefening van openbaar gezag (De Post)  noodzakelijk voor behartiging van gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits afweging van het belang of de fundamentele rechten en vrijheden van de betrokkene  ‘catch-all’, maar inherent risicovol door de eigen afweging van de respectieve belangen
  • Bijzondere categorieën van persoonsgegevens Bijzondere categorieën van persoonsgegevens  Gevoelige persoonsgegevens (artikel 6 WVP)  b.v. ras, etnische herkomst, politieke of geloofsovertuigingen, seksuele geaardheid  Gezondheidsgegevens (artikel 7 WVP)  Persoonsgegevens die de vroegere, huidige, toekomstige gezondheidstoestand betreffen, d.w.z. gegevens met een rechtstreekse band met de gezondheidstoestand  b.v. medisch dossier, omschrijving ziekte  Niet: gegeven waaruit de gezondheidsband slechts onrechtstreeks kan worden afgeleid (b.v. foto van een persoon met een gipsverband rond het been)  Gerechtelijke persoonsgegevens (artikel 8 WVP)  b.v. strafrechtelijke veroordelingen, administratieve sancties In principe: verwerkingsverbod, maar uitzonderingen bestaan Bijkomende voorwaarden voor verwerking (artikel 25 e.v. Uitvoeringsbesluit)
  • Bijzondere categorieën van persoonsgegevens Uitzonderingen op het verwerkingsverbod  Gevoelige persoonsgegevens en gezondheidsgegevens  Schriftelijke toestemming (te allen tijde intrekbaar)  Noodzakelijk voor de uitvoering van de overeenkomst of in het kader van de precontractuele maatregelen  Noodzakelijk i.h.k. van specifieke arbeidsrechtelijke rechten en verplichtingen  Noodzakelijk i.h.k. van verwezenlijking doeleinden sociale zekerheid  Noodzakelijk voor preventieve geneeskunde, medische diagnose en zorgverstrekking (cf. aspecten van arbeidsgeneeskunde)  Noodzakelijk in het kader van een wettelijke verplichting
  • Bijzondere categorieën van persoonsgegevens Uitzonderingen op het verwerkingsverbod  Gerechtelijke persoonsgegevens  Toestemming is geen geldige grond voor verwerking!  Noodzakelijk in het kader van een wettelijke verplichting  Noodzakelijk voor beheer eigen geschillen Algemene waarschuwing:  de toestemming is een relatief zwak mechanisme in de sociale relatie (gezagsrelatie)  Gezagsrelatie ondermijnt de mogelijkheid van ‘vrije toestemming’  CBPL adviseert verruimde transparantie om het gebrek aan ‘vrije wil’ in de toestemming te compenseren  de toestemming wordt sterk beknot als verwerkingsgrondslag in de sociale relatie  Verbod in hoofde van potentiële of huidige werkgever om toestemming te gebruiken als grond voor verwerking gevoelige persoonsgegevens, tenzij de verwerking gericht is op het verstrekken van een voordeel aan de werknemer (b.v. verzekering t.v.v. de werknemer)
  • Rechten van de betrokkene Recht op informatie (‘transparantie’) (artikel 9 WVP)  Identificatie van de verantwoordelijke voor verwerking (of vertegenwoordiger)  Doeleinden van verwerking  Bestaan van recht op verzet (op verzoek & kosteloos) bij verwerking met oog op directe marketing  Bijkomende informatie (behalve indien niet nodig om een eerlijke verwerking te garanderen)  Categorieën van ontvangers (en bij onrechtstreekse inzameling, de categorieën van persoonsgegevens)  Al dan niet verplicht karakter van antwoord en de gevolgen van niet-beantwoording  Bestaan van recht op toegang tot en op verbetering van persoonsgegevens Recht op mededeling (artikel 10 WVP)  Individuele controlemogelijkheid  Mededeling van:  het bestaan van verwerkingen en hun inhoud  de verwerkte gegevens zelf  de logica die aan een geautomatiseerde besluitvorming ten grondslag ligt (b.v. geautomatiseerde evaluatie van werknemers zonder tussenkomst van HR-verantwoordelijke)
  • Rechten van de betrokkene Recht op verbetering (artikel 12 WVP)  Verbetering van onjuiste persoonsgegevens Recht op verzet (artikel 12 WVP)  Stopzetting van verwerking  Zwaarwegende en gerechtvaardige redenen  bij directe marketing doeleinden: kosteloos & zonder motivering Uitoefening recht op mededeling en recht op verbetering  Gedagtekend en ondertekend verzoek  Overhandiging, per post of per telecommunicatiemiddel  Reactie binnen een termijn van:  1 maand in geval van uitoefening van recht op verbetering  onverwijld, en in elk geval binnen de 45 dagen, in geval van uitoefening van het recht op mededeling  Anti-misbruikbepaling: bijkomende verzoeken kunnen slechts na verloop van het verstrijken van een redelijke termijn
  • Beveiligingsplicht (artikel 16 WVP) Gepaste technische en organisatorische maatregelen De bescherming tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens Kort samengevat: onrechtmatige verwerkingen Passend beveiligingsniveau  de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen  de aard van de te beveiligen gegevens en de potentiële risicos Specifieke verplichtingen
  • Gebruik van een verwerker Economische realiteit: uitbesteding van taken aan dienstverleners  Payroll service providers  Sociale secretariaten Dienstverlener inzake verwerking van persoonsgegevens: verwerker Soepele voorzieningen in WVP (verwerker is geen derde) Specifieke verplichtingen (artikel 16 WVP)  Beveiliging  Aansprakelijkheid  Overeenkomst
  • Gebruik van een verwerker Keuze verwerker Verwerkingsovereenkomst  Aansprakelijkheid van de verwerker vastleggen (artikel 15bis WVP!)  Veiligheid  Technische en organisatorische maatregelen  Verplichting tot effectief toezicht daarop  Opdracht van de verwerker afbakenen (handelt uitsluitend in opdracht van de verantwoordelijk conform diens instructies)  Schriftelijk of op elektronische drager
  • Aangifteverplichting (artikel 17 WVP) Aangifte van de verwerking bij CBPL  Blauwdruk van de verwerking (per doel, niet per toepassing)  Openbaar register via website CBPL Voor elke aanvang van verwerking, bij elke wijziging of bij stopzetting van de verwerking Uitzonderingen  Loonadministratie  Uitsluitend betrekking op noodzakelijke gegevens  Mededeling alleen aan gerechtigde ontvangers  Geen bewaring langer dan noodzakelijk voor doeleinde  Personeelsadministratie  Geen gevoelige persoonsgegevens, gezondheidsgegevens of gerechtelijke gegevens  Uitsluitend betrekking op noodzakelijke gegevens  Mededeling alleen aan derden alleen indien noodzakelijk of op basis van een wettelijke bepaling  Geen bewaring langer dan noodzakelijk voor doeleinde
  • Uitvoer van persoonsgegevens Principe  Geen uitvoer buiten EER, tenzij passende bescherming (artikel 21 WVP)  Witte lijst Uitzonderingen (artikel 22 WVP)  Toestemming  Noodzakelijk voor uitvoering overeenkomst werkgever/werknemer of voor precontractuele maatregelen  Noodzakelijk voor uitvoering overeenkomst werkgever/derde, mits aangegaan in het belang van de werknemer  Vitaal belang betrokkene  Contractuele basis (BCR, modelcontract EC, …) Uitzonderingen zijn moeilijk toepasbaar zijn op grote schaal Toestemming is meestal duur om nadien nog te implementeren Zuivere uitvoer is geen implementatie van nieuwe technologie in onderneming  In principe geen raadpleging OR in België (wel in sommige andere landen)  Raadpleging kan nodig zijn indien uitvoer deel uitmaakt van implementatie nieuwe technologie
  • Verwerking van persoonsgegevens: specifieke toepassingen m.b.t. HRM Analyse van de impact van de Wet VerwerkingPersoonsgegevens op enkele specifieke HRM-verwerkingen
  • Sollicitantenbestand Sollicitantenbestand voor toekomstig gebruik Verwerkingsgrond  Toestemming  Legitieme belang Informatieverstrekking Opletten bij verwerking van gevoelige gegevens, gezondheidsgegevens en gerechtelijke gegevens Beperkte bewaringstermijn  Doorgaans 6-24 maanden na sollicitatie  Betrokkene kan andere indicaties geven  Geen bewaring indien betrokkene te kennen geeft geen interesse te hebben in onderneming / functie
  • Toegangcontrole / badgesystemen Geautomatiseerd systeem voor toegangscontrole / meting arbeidstijd Verwerkingsgrondslag  Toestemming  Noodzaak uitvoering overeenkomst  Legitiem belang Voorafgaande informatie Onderdeel veiligheidsmaatregelen! Opgelet: biometrische applicaties worden kritisch benaderd door CBPL
  • Digitaal fotoboek Digitaal fotoboek personeel  Verwerkingsgrond  Toestemming  Noodzaak uitvoering overeenkomst  Legitiem belang  Informatieverplichting Opgelet: uitvoer van persoonsgegevens  Intranet: Bodil Lindqvist?
  • Statistische verwerking (i.h.k. van loonbeleid) Typevoorbeelden  Eigen statistisch materiaal voor beleidsdoeleinden  Gegevensverstrekking voor statistisch materiaal aan te maken door derden  Louter gebruik van statistieken wordt niet geviseerd Statistische verwerking  Toetsing van beleid door (interne of externe) statistieken  Primaire verwerking  Verwerking met nieuwe persoonsgegevens  Voldoen aan vereisten van een verwerking  Secundaire verwerking  Verwerking van reeds ingezamelde persoonsgegevens (zelf of door een derde)  Voldoen aan vereisten van het (soepelere) regime van secundaire verwerkingen voor statistische doeleinden
  • Statistische verwerking (i.h.k. van loonbeleid) Basisregels  Cascadestelsel dat stapsgewijs de regels verstrengt  Zo veel mogelijk met anonieme gegevens werken, zoniet gecodeerde gegevens, zoniet met persoonsgegevens Soepel regime om inzameling en samenvoeging van gegevens mogelijk te maken (zelfs van verschillende bronnen)  Toestemmingsvereiste  Informatieplicht Gebruiksbeperking  In beginsel geen bekendmaking die betrokkenen identificeert  Ingezameld materiaal mag niet rechtstreeks benut worden ten nadele van de betrokkene  Maar: algemeen beleid op basis van het statistisch materiaal (resultaat) kan uiteraard wel een (voordelige of nadelige) impact hebben op de betrokkenen Gunstig regime voor overkoepelend HR-beleid op groepsniveau
  • Centralisering HRM op groepsniveau (lokaal /internationaal) Trend: HRM op groepsniveau  Nieuwe verwerking door de overkoepelende onderneming (b.v. beheer van doorstromingsmogelijkheden binnen de groep)  (Gehele of gedeeltelijke overname) van de verwerking door een HR-afdeling binnen de moederonderneming In de meeste gevallen: doorgifte van persoonsgegevens aan een derde (t.t.z. moederbedrijf) Opgelet: internationale context kan beperkingen opleggen  Toepasselijk recht (‘country of origin’-beginsel o.g.v. artikel 3bis WVP)  Uitvoer van persoonsgegevens buiten EER
  • Centralisering HRM op groepsniveau (lokaal /internationaal) Nieuwe verwerking  Grondslag  Toestemming van de betrokken werknemers (artikel 5, a WVP)  Legitiem belang van de moederonderneming (artikel 5, f WVP)  Informatieplicht  Rechtstreekse inzameling (artikel 9, §1 WVP)  Onrechtreekse inzameling (artikel 9, §2 WVP)  Aangifteverplichting Internationale context  Toepasselijk recht en uitvoer persoonsgegevens vormen een probleem bij moederondernemingen buiten de EER
  • Centralisering HRM op groepsniveau (lokaal /internationaal) Gedeelde verwerking (bestaande finaliteit)  Co-verantwoordelijkheid?  Grondslag  Toestemming van de betrokken werknemers (artikel 5, a WVP)  Legitiem belang van de ondernemingen (artikel 5, f WVP)  Informatieplicht  Rechtstreekse inzameling (artikel 9, §1 WVP)  Onrechtreekse inzameling (artikel 9, §2 WVP)  Aangifteverplichting Internationale context  Toepasselijk recht en uitvoer persoonsgegevens vormen een probleem bij moederondernemingen buiten de EER
  • Dank u voor uw aandacht. Vragen?