Afgelopen Vrijdag 25 mei is de veelbesproken Algemene Verordening Gegevensbescherming (AVG) in werking gegaan. Het doel van de wet is de bescherming van persoonsgegevens én bewustwording bij bedrijven die gegevens verwerken. Maar wat betekent de AVG wanneer je als bedrijf de gegevens van medewerkers verwerkt en beheert?
De AVG in vogelvlucht
In de AVG is geregeld dat je als bedrijf moet melden welke persoonsgegevens je verwerkt, waarom je dat doet én hoe je die gegevens beveiligt. Dit betekent dat je ook je werknemers hiervan op de hoogte moet stellen. Schakel je een bureau in voor de gegevensverwerking van jouw werknemers (bijvoorbeeld salarisadministratie of arbodienst)? Dan moet je daarmee een verwerkingsovereenkomst sluiten.
Verwerkingsregister
Dit alles leg je vast in een verwerkingsregister. Dit register is vormvrij, maar je moet het wel kunnen tonen zodra de Autoriteit Persoonsgegevens daar om vraagt. Het register moet je ook bekend maken bij jouw werknemer. Onze tip is om ernaar te verwijzen in de arbeidsovereenkomst of het personeelsreglement. Je kunt het register toevoegen aan de documenten die worden verstrekt bij de indiensttreding.
Wat moet in het verwerkingsregister staan?
Heb je een bedrijf met minder dan 250 medewerkers? Neem dan de volgende zaken op in het verwerkingsregister.
- Naam verantwoordelijke van de onderneming en contactgegevens
- Naam functionaris gegevensbescherming en contactgegevens
- Welke afdeling de gegevens verwerkt en wie de verantwoordelijke is
- Als er een verwerker is: naam en contactgegevens (ook van de verantwoordelijke persoon)
- Doelen van de verwerking
- toestemming van de betrokkene
- uitvoering van een overeenkomst
- uitvoering van een wettelijke plicht
- behartiging van vitale belangen
- behartiging van het algemeen belang
- behartiging van gerechtvaardigde belangen van de onderneming
- categorieën van betrokken personen: bijvoorbeeld werknemers, klanten, leveranciers, zzp-ers
- Niet-incidentele verwerkingen: verwerkingen die regelmatig voorkomen zoals de gegevens van (nieuwe) medewerkers om de salarissen te kunnen betalen en aan te kunnen melden aan pensioenuitvoerders, UWV en belastingdienst.
- Verwerkingen van bijzondere gegevens of gegevens met en hoog risico. Dit zijn bijvoorbeeld gegevens over het functioneren, ziekteverzuim of functiewijzigingen. Maar ook strafrechtelijke gegevens voor een ander doel dan de wet daaraan koppelt.
- Beschrijving van de gegevens die worden doorgestuurd naar andere partijen (ontvangers) bijvoorbeeld UWV, belastingdienst.
- De (voorgenomen, wettelijke) bewaartermijnen.
- Vermelding waar dit wordt opgeslagen en welke veiligheidsmaatregelen zijn getroffen.
Sjabloon downloaden
Via onze website kun je Verwerkingsregister_uitgebreid HRM-Friesland.
En de Ondernemingsraad?
De invoering van de AVG is niet advies- of instemmingsplichtig. Als je van plan bent om veranderingen aan te brengen kan dit wel zo zijn. Aanpassingen in technologische voorzieningen (digitale beveiligingen) kunnen adviesplichtig zijn en aanpassingen in registraties van persoonsgegeven zijn instemmingsplichtig. De OR kan wel gebruik maken van het initiatiefrecht om dit onderwerp te bespreken in de overlegvergadering. Op zich is dat natuurlijk niet onverstandig.
Vragen?
Heb je nog vragen over de AVG. Bel ons dan op 058-288 23 22 of mail ons: info@hrm-friesland.nl