De Voort Advocaten | Mediators

Toonaangevend advocatenkantoor gespecialiseerd in juridisch advies, procesbijstand en mediation voor ondernemingen, organisaties, overheden en particulieren. Onze ervaren specialisten blinken uit in strategisch inzicht, praktische oplossingen en heldere communicatie. Wij zetten ons in om samen met u uit te blinken en het beste resultaat te bereiken. Ontdek onze expertise en maatschappelijke betrokkenheid in de regio Tilburg.

Privacyboekje Autoriteit Persoonsgegevens voor de ondernemingsraad

mr. drs. Stefan Jansen

Gepubliceerd: 9 juli 2021 Geschreven door: mr. drs. Stefan Jansen

Een belangrijke, maar vaak vergeten, speler in de wereld van privacy is de ondernemingsraad (‘OR’). De Wet op de Ondernemingsraden (‘WOR’) kent diverse bevoegdheden toe aan de OR voor privacygerelateerde onderwerpen. Om ondernemingsraden bewust te maken van deze rol en taak schreef ik als mede-auteur in 2018 aan het boekje OR&Privacy. Op 28 april 2021 heeft ook de Autoriteit Persoonsgegevens (‘AP’) een gratis digitaal boekje gelanceerd met de titel Het OR-privacyboekje.

De uitgave omschrijft in 17 pagina’s de rol van de ondernemingsraad bij privacy op de werkvloer. Het vervangt de oude handreiking ‘Privacy: checklist voor de ondernemingsraad’ zoals deze tot voor kort op de website van de AP was te vinden en vult deze aan met nieuwe informatie. Het boekje gaat met name in op de bevoegdheden die voortvloeien uit artikel 27 lid 1 sub k e sub l WOR. Dit betreft het instemmingsrecht voor een regeling omtrent het verwerken alsmede de bescherming van persoonsgegevens van -kortgezegd- werknemers, en regelingen over en introductie, wijziging of afschaffen van de in de volksmond geheten ‘personeelsvolgsystemen’.

Daarnaast bevat het boekje toelichting op de verschillende begrippen uit de Algemene Verordening Gegevensbescherming (‘AVG’). Denk hierbij aan begrippen als ‘persoonsgegevens’, ‘verwerkingsverantwoordelijke’ en ‘verwerker’.

Helaas is het medezeggenschapsrechtelijke deel van het Privacyboekje zeer beperkt. Naast het instemmingsrecht, noemt de AP in een enkele regel nog het initiatiefrecht. Hoe het onderwerp privacy op de agenda kan worden gezet via het overlegrecht, hoe informatie kan worden verkregen via het informatierecht of hoe het onderwerp privacy zeker meegenomen zou moeten worden bij de adviesrechtelijke onderwerpen, beschrijft de AP niet. Ook de gevolgen van het niet betrekken van de OR bij eventuele geschillen van individuele werknemers over privacyrechtelijke kwesties komt niet aan de orde. Tot slot is niet beschreven hoe de OR vanuit de AVG of WOR in bepaalde procedures als procespartij zou kunnen optreden.

Mocht een ondernemingsraad na het lezen van het boekje, of na ontvangst van een instemmingsaanvraag, aan de slag willen met het onderwerp privacy, dan volgen in aanvulling op het boekje onder dit blog alvast 20 vragen die de OR zichzelf en/of de bestuurder kan stellen in een voorliggende kwestie. Ons kantoor beschikt daarnaast over diverse ‘checklisten’ die de OR kan gebruiken voor de beoordeling van een instemmingsaanvraag. Neem bij vragen over privacy, al dan niet vanuit medezeggenschapsrechtelijk perspectief, gerust contact op.

Twintig privacyrechtelijke vragen voor de OR/bestuurder in een voorliggende kwestie:

  1. Is sprake van persoonsgegevens?
  2. Is sprake van verwerking?
  3. Welke partij neemt welke rol in bij de verwerking van persoonsgegevens? Wie is de verwerkingsverantwoordelijke en zijn er verwerkers ingeschakeld? Indien er verwerkers ingeschakeld zijn: is er een verwerkingsovereenkomst gesloten die voldoet aan de wettelijke vereisten?
  4. Welke grondslag geldt er voor de verwerking van persoonsgegevens en is voldaan aan de vereisten om van die grondslag gebruik te maken?
  5. Wat is het doel van de verwerking van persoonsgegevens? Zijn alle verwerkingen in lijn met dit doel en worden de persoonsgegevens niet voor andere doeleinden gebruikt (doelbinding)?
  6. Worden niet meer gegevens verwerkt dan noodzakelijk is om het doel te bereiken?
  7. Hoelang worden de persoonsgegevens bewaard? Is deze termijn niet langer dan noodzakelijk?
  8. Waar worden persoonsgegevens opgeslagen en wie heeft er toegang tot de persoonsgegevens? Hoe is de geheimhouding geregeld?
  9. Zijn voldoende maatregelen genomen om te waarborgen dat de persoonsgegevens juist en nauwkeurig zijn?
  10. Zijn voldoende passende beveiligingsmaatregelen genomen?
  11. Moet er een verwerkingsregister bijgehouden worden en gebeurt dat ook?
  12. Moet er een DPIA gehouden worden en gebeurt dat ook?
  13. Heeft de organisatie een procedure voor het melden van datalekken en wordt een datalekkenregister bijgehouden?
  14. Moet er een functionaris voor gegevensbescherming worden aangesteld en is dat gebeurd?
  15. Worden persoonsgegevens verstrekt aan personen of partijen buiten de organisatie? Zo ja, gebeurt dit conform de regels van de AVG?
  16. Vindt gegevensverkeer naar landen buiten de Europese Unie plaats? Zo ja, zijn er aanvullende maatregelen genomen c.q. afspraken gemaakt zoals beschreven in de AVG?
  17. Worden bijzondere persoonsgegevens verwerkt en is voldaan aan de aanvullende regels die daarvoor gelden?
  18. Worden betrokkenen (medewerkers) juist, tijdig en volledig geïnformeerd over de verwerking van hun persoonsgegevens?
  19. Zijn betrokkenen (medewerkers) op de hoogte van hun rechten en weten zij hoe zij hiervan gebruik kunnen maken?
  20. Van welke rechten kan de OR in de voorliggende kwestie gebruik maken? Is er bijvoorbeeld sprake van een voorziening die gericht is op of geschikt is voor het controleren van personeel, of van een regeling inzake het verwerken of het beschermen van persoonsgegevens?