Artikelen P.A. Nabben en E.C. Post Uiterweer1 De Europese privacy verordening: werkgever, bent u er klaar voor? ArbeidsRecht 2017/21 De nieuwe Europese verordening omtrent de bescherming van persoonsgegevens, die per 25 mei 2018 van kracht zal zijn, zal ook voor de arbeidsrechtpraktijk een grote impact hebben. Werkgevers verwerken immers op verschillende manieren en op grote schaal persoonsgegevens van hun personeel. Met nog ruim een jaar te gaan voordat de verordening van kracht zal zijn, is het voor werkgevers goed om nu reeds stil te staan bij de vraag of en hoe zij de wijze van hun gegevensverwerking moeten aanpassen aan de nieuwe regels. De opstellers van de verordening hebben met opzet hoge sancties gezet op niet naleving van de nieuwe regels, zodat alle verwerkers van persoonsgegevens de nieuwe regels serieus zullen nemen. Hieronder volgt een overzicht van de voor de arbeidsrechtpraktijk belangrijkste wijzigingen. 1. Totstandkoming Europese verordening In januari 2012 presenteerde de Europese Commissie voorstellen voor een herziening van de privacyregelgeving, met als doel ‘Europa geschikt te maken voor het digitale tijdperk’. Op dat moment was op privacy-gebied veruit de bekendste richtlijn de Privacyrichtlijn 1995, opgesteld in een tijd waarin minder dan 1% van de Europeanen gebruikmaakte van internet.2 Er waren derhalve nieuwe regels nodig, die beter zouden aansluiten bij de huidige tijd. Ook waren er gaandeweg een kleine dertig verschillende nationale wetgevingen ontstaan – de Privacyrichtlijn 1995 moest immers in alle lidstaten worden geïmplementeerd – en was het de wens van de Commissie om aan die versnippering een einde te maken.3 Gekozen werd voor een EU-verordening, zodat de nieuwe regels rechtstreekse werking zouden hebben. Na een moeizaam proces bereikten de lidstaten eind 2015 een hoofdlijnenakkoord4 waarna op 27 april 2016 de definitieve tekst werd gepubliceerd van de Verordening (EU) 2016/679 (Algemene Verordening inzake Gegevensbescherming) internationaal beter bekend als de General Data Protection Regulation, ofwel GDPR.5 De relevantie van nieuwe regels op het gebied van persoonsgegevensverwerking voor de arbeidsrechtpraktijk is evident: 1 2 3 4 5 Mr. P.A. Nabben en mr. E.C. Post Uiterweer zijn advocaat bij Bronsgeest Deur Advocaten N.V. te Amsterdam. Persbericht IP/12/46 en considerans 6 en 7 Verordening (EU) 2016/679. Considerans 9 Verordening (EU) 2016/679. Persbericht IP/15/6321. Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad Betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Privacyrichtlijn 1995 (Algemene Verordening Gegevensbescherming). 12 T2_ArbeidsRecht_1704_bw_V02.indd 12 werkgevers verwerken op veel en uiteenlopende manieren persoonsgegevens. Naast de gebruikelijke gegevens die bijvoorbeeld in de personeelsadministratie worden verwerkt, worden mogelijk ook gegevens verwerkt met betrekking tot (controle op) aanwezigheid op het werk. Hierbij kan worden gedacht aan de inzet van cameratoezicht, het gebruik van zogenaamde tracking systemen zoals GPS voor bijvoorbeeld chauffeurs en salesmedewerkers of zelfs het gebruik van biometrische gegevens zoals een vingerafdruk of irisscan, bijvoorbeeld om toegang te krijgen tot een gebouw. En uiteraard begint de gegevensverwerking al in de sollicitatiefase, in het kader waarvan de eerste persoonsgegevensverwerking plaatsvindt. Genoeg reden dus voor werkgevers om zich bijtijds in de Verordening (EU) 2016/679 te verdiepen. Enigszins ter geruststelling kan vooraf worden opgemerkt dat veel van de voornaamste uitgangspunten in de Verordening (EU) 2016/679 gelijk zijn aan de huidige Nederlandse Wet Bescherming Persoonsgegevens (hierna: ‘Wbp’). Werkgevers die momenteel in lijn handelen met de huidige regels hebben dan ook een goed vertrekpunt om van daaruit te zorgen voor compliance met de nieuwe regels per 25 mei 2018. Echter bevat de Verordening (EU) 2016/679 wijzigingen die nog altijd aanzienlijk zijn. 2. Wat blijft hetzelfde? Veel van de in de Wbp gebruikte begrippen en beginselen keren terug in de Verordening (EU) 2016/679, zoals de zeer ruim uitgelegde begrippen ‘persoonsgegeven’ en ‘verwerking’. De Wbp definieert een persoonsgegeven als ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Zowel nu als onder de Verordening (EU) 2016/679 geldt het uitgangspunt dat als iemands identiteit direct of zonder onevenredige inspanning vastgesteld kan worden, er sprake is van een persoonsgegeven. De (recht)persoon of ieder ander die het doel van de gegevensverwerking vaststelt, blijft de (verwerkings)verantwoordelijke heten. De term ‘bewerker’ uit de Wbp (een bewerker is degene die ten behoeve van de verantwoordelijke gegevens verwerkt) wijzigt in de Verordening (EU) 2016/679 in ‘verwerker’. Wat eveneens gelijk blijft zijn de algemene beginselen voor gegevensverwerking, te weten de beginselen van rechtmatigheid, behoorlijkheid, transparantie en vertrouwelijkheid. Ook het beginsel van doelbinding (gegevens mogen enkel worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet daarbuiten6 ) en van minimale gegevensbescherming (gegevens mogen 6 Art. 7 en 9 Wbp, art. 5 lid 1 sub b Verordening (EU) 2016/679. Afl. 4 - april 2017 ArbeidsRecht 2017/21 4/11/2017 4:52:18 PM Artikelen DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR? enkel worden verwerkt voor zover toereikend, ter zake dienend en niet bovenmatig7) blijven onverkort gelden. Gehandhaafd blijft verder het uitgangspunt dat gegevens nooit langer mogen worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden van de verwerking.8 De limitatieve lijst van mogelijke verwerkingsgronden zoals verwoord in art. 8 van de Wbp zien we geheel terugkeren in art. 6 van de Verordening (EU) 2016/679. Voor de arbeidsrechtpraktijk zijn met name vier gronden voor rechtsgeldige verwerking relevant, te weten: – toestemming van de betrokkene; – de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (dat kan i.c. een arbeidsovereenkomst zijn, hoewel uiteraard ook gedacht kan worden aan bijvoorbeeld ZZPcontracten); – de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verantwoordelijke rust; – de verantwoordelijke heeft een gerechtvaardigd belang bij de verwerking, welk belang, kort gezegd, dient te prevaleren boven dat van de betrokkene. Daarnaast blijven, net als in de Wbp, afwijkende regels gelden voor enkele bijzondere categorieën van persoonsgegevens, te weten gegevens omtrent godsdienst of levensovertuiging, ras, politieke gezindheid, seksueel leven en vakbondslidmaatschap, alsmede medische en strafrechtelijke gegevens.9 Zowel naar huidig als naar komend recht genieten deze gegevens extra bescherming. Tot slot blijft grotendeels in stand de regelgeving omtrent doorgifte van persoonsgegevens naar landen buiten de EU10 , iets wat ook in de arbeidsrechtelijke praktijk bij multinationale ondernemingen veelvuldig gebeurt. De hoofdregel is dat een organisatie personeelsgegevens alleen mag doorgeven naar landen of regio’s buiten de EU als deze landen een passend beschermingsniveau hebben. De Europese Commissie heeft een beperkt aantal landen, regio’s of organisaties erkend die aan de voorwaarden voor een passend beschermingsniveau voldoen.11 Zo voldoen ondernemingen in de VS, aangesloten bij de EU-US Privacy Shield, de opvolger van de Safe Harbour-beschikking, bijvoorbeeld aan de voorwaarden voor een passend beschermingsniveau.12 Het ligt 7 8 9 10 11 12 Art. 11 Wbp, art. 5 lid 1 sub c Verordening (EU) 2016/679. Art. 10 Verordening (EU) 2016/679, art. 5 lid 1 sub e Verordening (EU) 2016/679. Art. 16-23 Wbp, art. 9 en 10 Verordening (EU) 2016/679. Art. 76-78 Wbp, art. 44-50 Verordening (EU) 2016/679. De geactualiseerde lijst is vindbaar via http://ec.europa.eu/justice/dataprotection/international-transfers/adequacy/index_en.htm . Het Hof van Justitie heeft op 6 oktober 2015 de belangrijkste basis voor de doorgifte van persoonsgegevens aan bedrijven in de VS, beschikking EC/2000/520 van de Europese Commissie,beter bekend als de Safe Harbour-beschikking, ongeldig verklaard. De Europese Commissie heeft op 12 juli 2016 de zogenaamde EU-VS-Privacy Shield goedgekeurd, maar Europese privacy-toezichthouders waaronder de Nederlandse Autoriteit Persoonsgegevens zijn kritisch: zij oordelen dat ook deze overeenkomst de privacy onvoldoende waarborgt. Het voert te ver om in dit artikel in detail op dit punt in te gaan. ArbeidsRecht 2017/21 T2_ArbeidsRecht_1704_bw_V02.indd 13 in de rede dat te zijner tijd ook het Verenigd Koninkrijk op de lijst zal worden gezet, als de Brexit een feit is. Uitgangspunt blijft, ook onder de Verordening (EU) 2016/679, dat voor doorgifte naar een land zonder passend beschermingsniveau, de ondubbelzinnige instemming van de betrokkene c.q. werknemer met de doorgifte nodig zal zijn. Zonder deze instemming is de doorgifte in het gros van de gevallen naar huidig en komend recht enkel mogelijk indien tussen de organisaties in Nederland en het betreffende derde land gebruik is gemaakt van zogenaamde standaard contractuele bepalingen, uitgewerkt in verschillende EU-modellen.13 Een alternatief is het opstellen van bindende bedrijfsvoorschriften, de zogeheten ‘Binding Corporate Rules’, die ter goedkeuring aan de bevoegde privacy toezichthouder dienen te worden voorgelegd. De Europese Commissie verwacht in de toekomst dat met name multinationals op grotere schaal voor deze laatste optie zullen kiezen. 3. Wat verandert er? Enkele hiervoor genoemde verschillen daargelaten is er tot zover weinig nieuws ten opzichte van de huidige regels en basisprincipes. Het zijn echter de hierna te bespreken veranderingen die laten zien dat met de nieuwe regels op een aantal onderdelen een heel aantal nieuwe verplichtingen op werkgevers afkomen per 25 mei 2018. Allereerst zal het territoriaal toepassingsgebied van de Verordening (EU) 2016/679 ruimer zijn: niet alleen ondernemingen met minstens één vestiging in Europa vallen onder het bereik van de Verordening (EU) 2016/679, maar ook niet-Europese ondernemingen die goederen of diensten aanbieden aan personen binnen Europa.14 Gezien de voor de arbeidsrechtelijke praktijk beperkte relevantie volstaan wij hier met de enkele signalering daarvan. De Verordening (EU) 2016/679 introduceert een aantal nieuwe begrippen, te weten onder meer ‘profilering’, ‘pseudonimisering’, ‘privacy by design’, ‘privacy by default’ en ‘the right to be forgotten’, met de in het Nederlands wat ongelukkige vertaling ‘het recht op vergetelheid’. Voor zover in een arbeidsrechtelijke context relevant komen deze nieuwe termen hierna aan bod. De volgende inhoudelijke wijzigingen in de Verordening (EU) 2016/679 ten opzichte van de Privacyrichtlijn 1995 en de Wbp behoeven in het kader van dit artikel een nadere bespreking. 3.1 Meer rechten voor de betrokkene c.q. werknemer De Verordening (EU) 2016/679 kent de betrokkene een aantal aanvullende rechten toe ter versterking van de controle van de betrokkene over hem betreffende persoonsgegevens. Ten eerste is het recht op inzage uitgebreid. Dit recht bestaat al onder de Wbp; nieuw is dat de werknemer onder de Ver- 13 14 Art.l 26 lid 2 Privacyrichtlijn 1995. Art. 2 (considerans 22-24) Verordening (EU) 2016/679. Afl. 4 - april 2017 13 4/11/2017 4:52:18 PM Artikelen DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR? ordening (EU) 2016/679 ook het recht heeft op informatie over hoe lang de verantwoordelijke c.q. werkgever de gegevens beoogt te bewaren, of de gegevens worden gebruikt voor automatische besluitvorming, of de werkgever voornemens is gegevens naar het buitenland te transporteren en zo ja, welke waarborgen hij daarvoor heeft voorzien. Verder dient de werkgever o.a. te informeren over het recht op rectificatie en het recht om een klacht in te dienen bij de privacy toezichthouder. In de Wbp is de verplichting van de verantwoordelijke opgenomen om een betrokkene desgevraagd mede te delen of hem betreffende persoonsgegevens worden verwerkt, en zo ja, dan heeft de betrokkene het recht op een volledig overzicht daarvan. De Wbp koppelt daaraan het voorschrift dat, als een derde naar verwachting bedenkingen zal hebben tegen het doen van een zodanige mededeling, de verantwoordelijke die derde eerst de gelegenheid geeft om zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen (een en ander tenzij dit onmogelijk blijkt of een onevenredige inspanning kost). De Verordening (EU) 2016/679 is op dit punt iets anders van opzet. De Verordening (EU) 2016/679 bevat, explicieter geformuleerd dan de Wbp, het recht van kopie: de werknemer mag op basis daarvan vragen om een kopie van het volledige personeelsdossier.15 Voorts regelt de Verordening (EU) 2016/679 dat dit recht op kopie geen afbreuk doet aan de rechten en vrijheden van anderen. De Wbp noemt de rechten en vrijheden van anderen ook als uitzonderingsgrondslag voor het recht op kopie16 . Het voorschrift dat een derde zijn zienswijze mag geven, keert in de Verordening (EU) 2016/679 niet terug. In een arbeidsrechtelijke context geldt vanaf de Verordening (EU) 2016/679 dus dat de verantwoordelijke c.q. werkgever bij het verstrekken van een kopie van i.c. bijvoorbeeld een personeelsdossier, zal moeten nagaan of de privacy rechten van derden daarmee niet worden geschonden. Die derde zou bijvoorbeeld een collega kunnen zijn, of een contactpersoon bij een klant. In de huidige Nederlandse rechtspraak over verschaffing van het personeelsdossier aan de werknemer werd een nuance aangebracht: het recht van een werknemer om een kopie van zijn personeelsdossier op te vragen, strekt zich niet uit tot interne notities die persoonlijke gedachten van medewerkers van de werkgever bevatten en uitsluitend bedoeld zijn voor intern overleg en beraad, tenzij op grond van die notities een definitief rapport is opgemaakt.17 Wij verwachten dat deze lijn ook onder de Verordening (EU) 2016/679 de toets der kritiek zal doorstaan. 15 16 17 Art. 35 lid 1 en 2 Wbp, art. 15 lid 3 en 4 en considerans 63 en 64 Verordening (EU) 2016/679. In considerans 63 Verordening (EU) 2016/679 staat overigens nog dat, indien een verantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, de verantwoordelijke de betrokkene voorafgaand aan de informatieverstrekking moet kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft. Het is de vraag of in een arbeidsrechtelijke context snel aan dit criterium zal worden voldaan. Art. 43 sub e Wbp. HR 8 februari 2013, JAR 2013/72. 14 T2_ArbeidsRecht_1704_bw_V02.indd 14 De tweede wijziging is het hiervoor genoemde recht van vergetelheid. Ook dit is een recht dat op basis van rechtspraak al bestond onder de Privacyrichtlijn 1995, via de zogeheten Google Spain zaak.18 De Verordening (EU) 2016/679 legt dit recht uitdrukkelijk vast in artikel 17 (en considerans 65). Hierin wordt opgesomd dat dit recht van vergetelheid onder meer bestaat als de verwerking niet langer nodig is voor verwezenlijking van het doel, als de verwerking enkel berustte op de toestemming van de werknemer en de werknemer deze toestemming intrekt, als hij gegronde bezwaren maakt tegen de verwerking of als een rechtsgrond voor de verwerking ontbreekt. Hieraan gekoppeld kent de Verordening (EU) 2016/679 ook het recht op beperking van de verwerking: bepaalde gegevens zouden dan moeten worden gemarkeerd zodat voor de werkgever duidelijk is voor welke doeleinden de verwerking is uitgesloten, althans voor de verwerking waarvan de werknemer geen toestemming heeft gegeven. Het is mogelijk dat hier in de toekomst discussies over gaan ontstaan, bijvoorbeeld als een werkgever en werknemer in een arbeidsconflict geraken en de werknemer vraagt bepaalde gegevens te verwijderen of de verwerking ervan te beperken en de werkgever meent redenen te hebben om niet gehouden te zijn aan dit verzoek te voldoen. De derde wijziging is het recht op overdraagbaarheid van gegevens.19 Dit recht is in beginsel bedoeld als middel om het voor een betrokkene makkelijker te maken om gegevens over te hevelen van de ene dienstverlener naar de andere en behoeft daarom in een arbeidsrechtelijke context geen verdere bespreking. De werkgever dient in beginsel binnen een maand op de verzoeken van de werknemer te reageren. Als de werkgever geen gevolg geeft aan een verzoek van de werknemer, moet hij de werknemer dit tijdig en schriftelijk laten weten, welk bericht informatie dient te bevatten over de mogelijkheid om een klacht in te dienen bij de privacy toezichthouder of naar de rechter te stappen.20 3.2 Meer verplichtingen voor verwerkingsverantwoordelijke c.q. werkgever Tegenover de toegenomen rechten van de werknemer staan ten eerste, separaat in de Verordening (EU) 2016/679 opgesomd, de verplichtingen van de werkgever als verwerkingsverantwoordelijke om de werknemer tijdig informatie te verschaffen omtrent de verwerking van diens persoonsgegevens: de werkgever moet de werknemer informeren over het doel van de verwerking, de contactgegevens van de 18 19 20 HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317: als men via Google zocht naar de Spaanse jurist Mario Costeja Gonzalez, dan toonde Google in de zoekresultaten een negatief persartikel over hem uit een zeer ver verleden. De Spaanse jurist vorderde in rechte dat dit zoekresultaat niet meer zou worden getoond. Het HvJ EU oordeelde uiteindelijk dat mensen onder bepaalde voorwaarden het recht hebben op verwijdering van zoekresultaten op hun naam. Art. 20 en considerans 68 Verordening (EU) 2016/679. Art. 12 lid 3 en 4 Verordening (EU) 2016/679. Afl. 4 - april 2017 ArbeidsRecht 2017/21 4/11/2017 4:52:18 PM Artikelen DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR? eventueel aanwezige functionaris gegevensbescherming, de bewerkers die in het kader van de arbeidsrelatie gegevens van de werknemer zullen verwerken, of de werkgever gegevens naar het buitenland zal transporteren en zo ja, welke waarborgen er zijn, waar de werknemer heen kan in geval van klachten et cetera. Ook dient de werkgever aan te geven hoe lang hij de gegevens zal bewaren (hierop wordt later nog ingegaan bij bespreking van de Uitvoeringswet) en moet de informatieverschaffing uitdrukkelijk het recht bevatten dat een werknemer een eenmaal gegeven toestemming weer mag intrekken.21 Kortom, de werkgever dient voor aanvang van de arbeidsrelatie de werknemer te wijzen op al zijn rechten op privacy-gebied (iets wat onder Wbp overigens ook al moet, maar in feite zeer weinig gebeurt). De werkgever zal op dit punt in de toekomst dus moeten gaan werken met een algemene informatiebrief aan werknemers, en hij zal op voorhand per persoonsgegeven moeten nadenken over wat de rechtsgrond voor de verwerking is. De informatievoorziening dient ook in begrijpelijke taal en in gemakkelijk toegankelijke vorm plaats te vinden. Een tweede wijziging voor de werkgever onder de Verordening (EU) 2016/679 is de doorhaling van de meldingsplicht van de gegevensverwerking, thans verwoord in art. 27 van de Wbp. Dit ter verlaging van de administratieve rompslomp die dit meebracht.22 In plaats daarvan introduceert de Verordening (EU) 2016/679 de documentatieplicht: werkgevers dienen een register bij te houden van hun verwerkingsactiviteiten, waarbij alle hiervoor bedoelde informatieverstrekking aan de werknemers ook voor de eigen administratie dient te worden vastgelegd. Deze plicht geldt voor grotere ondernemingen (250 werknemers of meer) en voor ondernemingen die op grote schaal gegevens van individuen verwerken (te denken valt aan recruitment bedrijven die op grote schaal gegevens van kandidaten verwerken), of indien er sprake is van verwerking van gevoelige persoonsgegevens (bijvoorbeeld arbodiensten). Er bestaat een grote overlap van de nieuwe rechten van werknemers, de informatieplicht van werkgevers en de hier bedoelde registratieplicht. Werkgevers dienen bijtijds documenten in orde te hebben om te zorgen voor compliance op al deze drie onderdelen. Een derde wijziging voor de werkgever is de verplichting voor sommige bedrijven om een functionaris voor de gegevensverwerking aan te stellen.23 De instelling van een functionaris is onder de Wbp optioneel. Op grond van de Verordening (EU) 2016/679 is het een verplichting voor publieke overheden en voor particuliere bedrijven om een functionaris in te stellen indien i) de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als kern – en aldus hoofdtaak – heeft verwerkingsactiviteiten uit te voeren die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen; of ii) indien de 21 22 23 Art. 14 en considerans 60-62 Verordening (EU) 2016/679. Standaard personeelsgegevens zijn naar huidig recht al vrijgesteld door middel van het Vrijstellingsbesluit. Art.37 Verordening (EU) 2016/679. Dit mag een werknemer van de organisatie zijn, maar ook een zelfstandige dienstverlener. ArbeidsRecht 2017/21 T2_ArbeidsRecht_1704_bw_V02.indd 15 onderneming hoofdzakelijk is belast met de verwerking van bijzondere persoonsgegevens. Hoe deze nogal vage definitie dient te worden ingevuld – en dus welke bedrijven onder deze plicht komen te vallen – is vooralsnog onduidelijk. Zo zal de toekomst moeten uitwijzen of bijvoorbeeld verzekeringsmaatschappijen onder categorie i) en/of ii) vallen. Een vierde wijziging die werkgevers direct raakt, is de verplichting tot verbeterde beveiliging van persoonsgegevens, uiteraard verband houdende met de razendsnelle technologische ontwikkelingen. De Verordening (EU) 2016/679 verplicht tot een methodische aanpak, waarbij een zogeheten gegevensbeschermingseffectbeoordeling (‘Privacy Impact Assessment’) moet plaatsvinden. Het is de bedoeling dat de gegevensbescherming, ook en juist op het punt van beveiliging, al vanaf het begin van de gegevensverwerking een aandachtspunt vormt (een beginsel wat in de Verordening (EU) 2016/679 wordt omschreven als privacy by design24 ). Deze wijziging vergt voornamelijk input op ICT-gebied (door bijvoorbeeld een IT-auditor). Ten slotte wordt genoemd de meldplicht bij datalekken. Deze plicht is voor Nederland niet nieuw, aangezien de Wbp de meldplicht datalekken sinds 1 januari 2016 al kent.25 In een arbeidsrechtelijke context valt te denken aan een werknemer die een gegevensdrager, bijvoorbeeld een smartphone, tablet of laptop in de trein laat liggen, of dat een bepaald afgeschermd onderdeel van een HR-systeem per ongeluk toegankelijk is voor het hele bedrijf. Dergelijke incidenten geven onder omstandigheden de plicht tot melding bij de Autoriteit Persoonsgegevens (‘AP’).26 3.3 Toestemming werknemer Aparte aandacht verdient nog de door werkgevers veel gevraagde toestemming van de werknemer als één van de gronden voor verwerking door zijn werkgever. Ook onder de huidige regels moet voor toestemming sprake zijn van een ‘vrije, specifieke en op informatie berustende wilsuiting waarmee een betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt’.27 De definitie onder de Verordening (EU) 2016/679 is ongeveer, maar niet precies gelijkluidend,28 zodat de vraag ontstaat of het begrip toestemming in de toekomst anders moet worden ingevuld. Vaststaat in elk geval dat de ‘toestemming van de betrokkene’ in een arbeidsrelatie een erg onzekere verwerkingsgrond vormt. Dit wordt in de considerans bij de Verordening (EU) 2016/679 genoemd.29 In de MvT bij de Wbp is hierover te lezen dat, indien de toestemming van een betrokkene 24 25 26 27 28 29 Voor de volledigheid: dit onderscheidt zich van de andere genoemde nieuwe term uit de Verordening (EU) 2016/679: privacy by default. Dit houdt kort gezegd in in dat de meest privacy-vriendelijke instellingen voor de Verordening (EU) 2016/679 de norm zijn. Wet Meldplicht Datalekken, Stb. 2015/230, zie m.n. art. 34a Wbp. Ten weten als het gaat om gevoelige persoonsgegevens of er om een andere reden sprake is van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Art. 1 sub i Wbp. Art. 4 sub 11 Verordening (EU) 2016/679. Art. 7 en considerans 43 Verordening (EU) 2016/679. Afl. 4 - april 2017 15 4/11/2017 4:52:18 PM Artikelen DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR? niet voldoet aan de genoemde eisen of als deze wordt ingetrokken, de verantwoordelijke zich dan niet alsnog op één van de andere verwerkingsgronden zou kunnen beroepen.30 Volgens ons blijkt uit de tekst van art. 6, lid 1 van de Verordening (EU) 2016/679 echter dat dit naar komend recht waarschijnlijk anders is. Er staat: – “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:” Volgens ons kan de werkgever onder de Verordening (EU) 2016/679 dus juist wel terugvallen op een andere rechtsgrond indien de ene niet succesvol blijkt. Wat daarvan zij, het feit dat een toestemming in een arbeidsrelatie niet snel aan de genoemde vereisten voor rechtsgeldigheid zal voldoen, is op zichzelf al een reden voor werkgevers om zoveel mogelijk te vermijden dat zij de verwerking op toestemming baseren, zeker als deze zeer algemeen geformuleerd is. – In veel arbeidsovereenkomsten wordt een bepaling opgenomen dat de werknemer door ondertekening zijn toestemming geeft voor de verwerking van zijn persoonsgegevens. Los van de vraag of het wel nodig is om toestemming van werknemers te vragen voor de verwerking van voor de arbeidsrelatie relevante persoonsgegevens – één van de gronden voor rechtsgeldige verwerking is uitvoering van een overeenkomst waarbij de betrokkene partij is, i.c. is dat de arbeidsovereenkomst – zal een dergelijke toestemming geen effect hebben: vanwege de gezagsverhouding tussen werkgever en werknemer is in het algemeen geen sprake van de vereiste vrije wilsuiting, zodat een dergelijke veel te algemeen geformuleerde en niet toegelichte toestemming geen waarde heeft. Wel menen wij dat het binnen de arbeidsrelatie mogelijk is dat een toestemming wordt gegeven die wel de toets der kritiek doorstaat, bijvoorbeeld als een Amerikaans moederbedrijf bepaalde, beperkte gegevens van een werknemer nodig heeft voor toekenning van long term incentives; als in een separate overeenkomst daaromtrent een voor dat afgebakende onderdeel toestemming wordt gevraagd en verkregen, valt niet in te zien waarom deze toestemming niet vrijelijk, specifiek en geïnformeerd zou kunnen worden gegeven. 3.4 Overige wijzigingen De voornaamste overige wijzigingen in de Verordening (EU) 2016/679 zijn: – Het ‘one-stop-shop’ principe: onder de Verordening (EU) 2016/679 zal er in internationale situaties één leidende privacy toezichthouder worden aangesteld, te weten de toezichthouder van de lidstaat waar de hoofdvestiging van de groep ondernemingen ligt.31 Deze toezichthou- 4. 31 Kamerstukken II 1997/98, 25892, 3 (MvT), p. 81-82. Zie ook: F.C. van der Jagt, Als ja misschien toch nee is: ‘de toestemming van de werknemer voor de verwerking van persoonsgegevens’, TAP 2013/4. De hoofdvestiging is in beginsel de plaats waar een onderneming haar centrale administratie in de EU heeft, zie art. 4 lid 16 Verordening (EU) 2016/679. 16 T2_ArbeidsRecht_1704_bw_V02.indd 16 Nederland: wetsvoorstel Uitvoeringswet Ondanks het doel om een einde te maken aan de versnippering van regels binnen de EU bevat de Verordening (EU) 2016/679 op een heel aantal plaatsen de mogelijkheid voor iedere lidstaat om eigen of nadere regels te stellen. Nederland is voortvarend te werk gegaan: recentelijk, op 9 december 2016 is het Nederlandse wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming33 gepubliceerd. Deze Uitvoeringswet is onderdeel van een breder pakket dat in zijn geheel de Verordening (EU) 2016/679 zal uitvoeren respectievelijk implementeren. Beoogd is om de Verordening (EU) 2016/679 beleidsneutraal te implemen32 33 30 der is dan de enige gesprekspartner van de multinational, en zal waar nodig overleg moeten plegen met de autoriteit van een ander betrokken land. Strengere regels voor verwerkers: werkgevers maken op grote schaal gebruik van derden die namens hen gegevens verwerken (bijvoorbeeld arbodiensten, pensioenuitvoerders, maar bij grotere ondernemingen wordt soms de gehele HR administratie door een derde uitgevoerd). Onder de Wbp is het uitgangspunt dat de werkgever wettelijk jegens de werknemer de eindverantwoordelijke blijft, zij het dat hij bepaalde verplichtingen schriftelijk kan – en moet – opleggen aan de verwerker in een bewerkingsovereenkomst. Onder de Verordening (EU) 2016/679 geldt een reeks aanvullende en eigen plichten en verantwoordelijkheden voor bewerkers. Zij moeten voldoende garanties bieden dat de Verordening (EU) 2016/679 wordt nageleefd. Alle bewerkersovereenkomsten die momenteel in gebruik zijn zullen dus onder de loep moeten.32 Een hoger sanctierisico: voor een aantal inbreuken op de Verordening (EU) 2016/679 kan de boete oplopen tot € 10 miljoen of, voor ondernemingen, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Deze boetes staan op onder meer niet naleving van de plicht tot het aanstellen van een functionaris voor de gegevensbescherming of de plicht tot het bijhouden van een verwerkingsregister. Voor andere, zwaardere overtredingen geldt een boete van maximaal € 20 miljoen of maximaal 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Te denken valt hierbij aan het niet naleven van de basisbeginselen van de gegevensverwerking, gegevensverwerking zonder rechtsgrond, rechten van betrokkenen c.q. werknemers niet waarborgen, doorgifte buiten de EU zonder waarborgen of een bevel van de privacy autoriteit niet naleven. Tegen oplegging van deze sanctie staat beroep open bij de rechtbank. Art. 28 en considerans 81 Verordening (EU) 2016/679. Wetsvoorstel Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Privacyrichtlijn 1995 (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (“Uitvoeringswet Algemene verordening gegevensbescherming”), gepubliceerd op 9 december 2016. Afl. 4 - april 2017 ArbeidsRecht 2017/21 4/11/2017 4:52:18 PM Artikelen DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR? teren, aldus de opstellers van het wetsvoorstel. Het is de bedoeling dat per de datum van inwerkingtreding van de Verordening (EU) 2016/679 en de Uitvoeringswet, de Wbp wordt ingetrokken.34 Met de intrekking van de Wbp sneuvelt ook het daaraan gekoppelde Vrijstellingsbesluit Wbp. Dit is, in elk geval voor de arbeidsrechtpraktijk, een aderlating te noemen. Het Vrijstellingsbesluit Wbp bevatte immers juist voor de arbeidsrechtpraktijk een aantal nuttige bewaartermijnen, zoals de maximale bewaartermijn van sollicitantengegevens (in beginsel vier weken) en personeelsgegevens (twee jaar). Het is nog de vraag of een werkgever, wanneer hij deze termijnen vanaf mei 2018 blijft hanteren, compliant is met het vrij algemeen geformuleerde art. 5 lid 1 sub e uit de Verordening (EU) 2016/679, welke voorschrijft dat ‘gegevens worden bewaard in een vorm die het mogelijk maakt gegevens niet langer te bewaren dan nodig is voor de verwezenlijking van het doel waarvoor de verwerking noodzakelijk was’. Te verwachten valt dat dit wel het geval zal zijn. Immers, het Vrijstellingsbesluit Wbp is een concrete invulling van de algemene norm uit art. 10 van de Wbp, die gelijkluidend is aan het hiervoor genoemde art. 5 lid 1 sub e Verordening (EU) 2016/679. Wat daar verder van zij, werkgevers in de EU beschikken nu reeds over voldoende informatie om in elk geval een start te maken met aanpassing van hun HR-systemen en privacybeleid aan de komende regels. De boeteniveaus laten zien dat het de Europese Commissie menens is met de oplegging van de nieuwe privacyregels en met het toezicht op naleving hiervan. Dergelijke boeteniveaus zorgen ervoor dat het dossier privacybescherming bij ondernemingen, ook op arbeidsrechtelijk vlak, naar verwachting niet onderop de spreekwoordelijke stapel komt te liggen. Specifiek op arbeidsrechtelijk vlak bevat de Verordening (EU) 2016/679 in art. 88 de uitdrukkelijke mogelijkheid voor lidstaten om nadere regels te stellen. Van deze mogelijkheid lijkt de Nederlandse wetgever geen gebruik te maken: de Uitvoeringswet reageert op art. 88 Verordening (EU) 2016/679 uitdrukkelijk met: “Er is geen behoefte om gebruik te maken van de ruimte die deze bepaling aan het lidstatelijk recht biedt.” 5. Tot slot Doordat er op veel meer plaatsen dan vooraf wellicht voorzien ruimte wordt gegeven tot het vaststellen van nadere regels, gaat er in de toekomst toch weer een situatie ontstaan waarin veel EU-lidstaten hun eigen specifieke regeling zullen hebben. Op dat punt is het ‘privacy project’ dus niet geheel geslaagd te noemen. Ook blijven er nog veel vragen open, zoals bijvoorbeeld de vraag of onder de Wbp gesloten EU-modelcontracten voor doorgifte naar een land zonder passend beschermingsniveau onder de Verordening (EU) 2016/679 nog zullen voldoen of opnieuw moeten worden gesloten, hoe concreet invulling dient te worden gegeven in arbeidsrechtelijke situaties aan de regels uit de Verordening (EU) 2016/679 en wat nu voor het arbeidsrecht hanteerbare bewaartermijnen zijn na het wegvallen van het Vrijstellingsbesluit Wbp. Het feit dat de Nederlandse wetgever geen gebruikmaakt van de mogelijkheid om voor de arbeidsrelatie nadere regels te stellen, zien wij als een gemiste kans. 34 MvT bij wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming, p. 19. ArbeidsRecht 2017/21 T2_ArbeidsRecht_1704_bw_V02.indd 17 Afl. 4 - april 2017 17 4/11/2017 4:52:18 PM