Artikelen De Europese privacy verordening: werkgever, bent u er

advertisement
Artikelen
P.A. Nabben en E.C. Post Uiterweer1
De Europese privacy verordening: werkgever, bent u er
klaar voor?
ArbeidsRecht 2017/21
De nieuwe Europese verordening omtrent de bescherming van persoonsgegevens, die per 25 mei
2018 van kracht zal zijn, zal ook voor de arbeidsrechtpraktijk een grote impact hebben. Werkgevers
verwerken immers op verschillende manieren en op
grote schaal persoonsgegevens van hun personeel.
Met nog ruim een jaar te gaan voordat de verordening van kracht zal zijn, is het voor werkgevers goed
om nu reeds stil te staan bij de vraag of en hoe zij de
wijze van hun gegevensverwerking moeten aanpassen aan de nieuwe regels. De opstellers van de verordening hebben met opzet hoge sancties gezet op niet
naleving van de nieuwe regels, zodat alle verwerkers
van persoonsgegevens de nieuwe regels serieus zullen nemen. Hieronder volgt een overzicht van de voor
de arbeidsrechtpraktijk belangrijkste wijzigingen.
1.
Totstandkoming Europese verordening
In januari 2012 presenteerde de Europese Commissie voorstellen voor een herziening van de privacyregelgeving, met
als doel ‘Europa geschikt te maken voor het digitale tijdperk’.
Op dat moment was op privacy-gebied veruit de bekendste richtlijn de Privacyrichtlijn 1995, opgesteld in een tijd
waarin minder dan 1% van de Europeanen gebruikmaakte
van internet.2 Er waren derhalve nieuwe regels nodig, die
beter zouden aansluiten bij de huidige tijd. Ook waren er
gaandeweg een kleine dertig verschillende nationale wetgevingen ontstaan – de Privacyrichtlijn 1995 moest immers
in alle lidstaten worden geïmplementeerd – en was het de
wens van de Commissie om aan die versnippering een einde
te maken.3 Gekozen werd voor een EU-verordening, zodat
de nieuwe regels rechtstreekse werking zouden hebben. Na
een moeizaam proces bereikten de lidstaten eind 2015 een
hoofdlijnenakkoord4 waarna op 27 april 2016 de definitieve
tekst werd gepubliceerd van de Verordening (EU) 2016/679
(Algemene Verordening inzake Gegevensbescherming) internationaal beter bekend als de General Data Protection
Regulation, ofwel GDPR.5
De relevantie van nieuwe regels op het gebied van persoonsgegevensverwerking voor de arbeidsrechtpraktijk is evident:
1
2
3
4
5
Mr. P.A. Nabben en mr. E.C. Post Uiterweer zijn advocaat bij Bronsgeest
Deur Advocaten N.V. te Amsterdam.
Persbericht IP/12/46 en considerans 6 en 7 Verordening (EU) 2016/679.
Considerans 9 Verordening (EU) 2016/679.
Persbericht IP/15/6321.
Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement
en de Raad Betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije
verkeer van die gegevens en tot intrekking van Privacyrichtlijn 1995 (Algemene Verordening Gegevensbescherming).
12
T2_ArbeidsRecht_1704_bw_V02.indd 12
werkgevers verwerken op veel en uiteenlopende manieren
persoonsgegevens. Naast de gebruikelijke gegevens die bijvoorbeeld in de personeelsadministratie worden verwerkt, worden
mogelijk ook gegevens verwerkt met betrekking tot (controle
op) aanwezigheid op het werk. Hierbij kan worden gedacht
aan de inzet van cameratoezicht, het gebruik van zogenaamde
tracking systemen zoals GPS voor bijvoorbeeld chauffeurs en
salesmedewerkers of zelfs het gebruik van biometrische gegevens zoals een vingerafdruk of irisscan, bijvoorbeeld om toegang te krijgen tot een gebouw. En uiteraard begint de gegevensverwerking al in de sollicitatiefase, in het kader waarvan de
eerste persoonsgegevensverwerking plaatsvindt.
Genoeg reden dus voor werkgevers om zich bijtijds in de
Verordening (EU) 2016/679 te verdiepen. Enigszins ter geruststelling kan vooraf worden opgemerkt dat veel van
de voornaamste uitgangspunten in de Verordening (EU)
2016/679 gelijk zijn aan de huidige Nederlandse Wet Bescherming Persoonsgegevens (hierna: ‘Wbp’). Werkgevers
die momenteel in lijn handelen met de huidige regels hebben dan ook een goed vertrekpunt om van daaruit te zorgen voor compliance met de nieuwe regels per 25 mei 2018.
Echter bevat de Verordening (EU) 2016/679 wijzigingen die
nog altijd aanzienlijk zijn.
2.
Wat blijft hetzelfde?
Veel van de in de Wbp gebruikte begrippen en beginselen
keren terug in de Verordening (EU) 2016/679, zoals de zeer
ruim uitgelegde begrippen ‘persoonsgegeven’ en ‘verwerking’. De Wbp definieert een persoonsgegeven als ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Zowel nu als onder de Verordening (EU)
2016/679 geldt het uitgangspunt dat als iemands identiteit
direct of zonder onevenredige inspanning vastgesteld kan
worden, er sprake is van een persoonsgegeven.
De (recht)persoon of ieder ander die het doel van de gegevensverwerking vaststelt, blijft de (verwerkings)verantwoordelijke heten. De term ‘bewerker’ uit de Wbp (een bewerker is degene die ten behoeve van de verantwoordelijke
gegevens verwerkt) wijzigt in de Verordening (EU) 2016/679
in ‘verwerker’.
Wat eveneens gelijk blijft zijn de algemene beginselen voor
gegevensverwerking, te weten de beginselen van rechtmatigheid, behoorlijkheid, transparantie en vertrouwelijkheid.
Ook het beginsel van doelbinding (gegevens mogen enkel
worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet daarbuiten6 )
en van minimale gegevensbescherming (gegevens mogen
6
Art. 7 en 9 Wbp, art. 5 lid 1 sub b Verordening (EU) 2016/679.
Afl. 4 - april 2017
ArbeidsRecht 2017/21
4/11/2017 4:52:18 PM
Artikelen
DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR?
enkel worden verwerkt voor zover toereikend, ter zake
dienend en niet bovenmatig7) blijven onverkort gelden. Gehandhaafd blijft verder het uitgangspunt dat gegevens nooit
langer mogen worden bewaard dan noodzakelijk is voor de
verwezenlijking van de doeleinden van de verwerking.8
De limitatieve lijst van mogelijke verwerkingsgronden zoals
verwoord in art. 8 van de Wbp zien we geheel terugkeren in
art. 6 van de Verordening (EU) 2016/679. Voor de arbeidsrechtpraktijk zijn met name vier gronden voor rechtsgeldige verwerking relevant, te weten:
– toestemming van de betrokkene;
– de verwerking is noodzakelijk voor de uitvoering van
een overeenkomst waarbij de betrokkene partij is (dat
kan i.c. een arbeidsovereenkomst zijn, hoewel uiteraard ook gedacht kan worden aan bijvoorbeeld ZZPcontracten);
– de verwerking is noodzakelijk om te voldoen aan een
wettelijke verplichting die op de verantwoordelijke
rust;
– de verantwoordelijke heeft een gerechtvaardigd belang
bij de verwerking, welk belang, kort gezegd, dient te
prevaleren boven dat van de betrokkene.
Daarnaast blijven, net als in de Wbp, afwijkende regels
gelden voor enkele bijzondere categorieën van persoonsgegevens, te weten gegevens omtrent godsdienst of levensovertuiging, ras, politieke gezindheid, seksueel leven en
vakbondslidmaatschap, alsmede medische en strafrechtelijke gegevens.9 Zowel naar huidig als naar komend recht
genieten deze gegevens extra bescherming.
Tot slot blijft grotendeels in stand de regelgeving omtrent
doorgifte van persoonsgegevens naar landen buiten de EU10 ,
iets wat ook in de arbeidsrechtelijke praktijk bij multinationale ondernemingen veelvuldig gebeurt. De hoofdregel is
dat een organisatie personeelsgegevens alleen mag doorgeven naar landen of regio’s buiten de EU als deze landen een
passend beschermingsniveau hebben. De Europese Commissie heeft een beperkt aantal landen, regio’s of organisaties erkend die aan de voorwaarden voor een passend beschermingsniveau voldoen.11 Zo voldoen ondernemingen in
de VS, aangesloten bij de EU-US Privacy Shield, de opvolger
van de Safe Harbour-beschikking, bijvoorbeeld aan de voorwaarden voor een passend beschermingsniveau.12 Het ligt
7
8
9
10
11
12
Art. 11 Wbp, art. 5 lid 1 sub c Verordening (EU) 2016/679.
Art. 10 Verordening (EU) 2016/679, art. 5 lid 1 sub e Verordening (EU)
2016/679.
Art. 16-23 Wbp, art. 9 en 10 Verordening (EU) 2016/679.
Art. 76-78 Wbp, art. 44-50 Verordening (EU) 2016/679.
De geactualiseerde lijst is vindbaar via http://ec.europa.eu/justice/dataprotection/international-transfers/adequacy/index_en.htm .
Het Hof van Justitie heeft op 6 oktober 2015 de belangrijkste basis voor
de doorgifte van persoonsgegevens aan bedrijven in de VS, beschikking EC/2000/520 van de Europese Commissie,beter bekend als de Safe
Harbour-beschikking, ongeldig verklaard. De Europese Commissie heeft
op 12 juli 2016 de zogenaamde EU-VS-Privacy Shield goedgekeurd, maar
Europese privacy-toezichthouders waaronder de Nederlandse Autoriteit
Persoonsgegevens zijn kritisch: zij oordelen dat ook deze overeenkomst de
privacy onvoldoende waarborgt. Het voert te ver om in dit artikel in detail
op dit punt in te gaan.
ArbeidsRecht 2017/21
T2_ArbeidsRecht_1704_bw_V02.indd 13
in de rede dat te zijner tijd ook het Verenigd Koninkrijk op
de lijst zal worden gezet, als de Brexit een feit is. Uitgangspunt blijft, ook onder de Verordening (EU) 2016/679, dat
voor doorgifte naar een land zonder passend beschermingsniveau, de ondubbelzinnige instemming van de betrokkene
c.q. werknemer met de doorgifte nodig zal zijn. Zonder deze
instemming is de doorgifte in het gros van de gevallen naar
huidig en komend recht enkel mogelijk indien tussen de organisaties in Nederland en het betreffende derde land gebruik is gemaakt van zogenaamde standaard contractuele
bepalingen, uitgewerkt in verschillende EU-modellen.13 Een
alternatief is het opstellen van bindende bedrijfsvoorschriften, de zogeheten ‘Binding Corporate Rules’, die ter goedkeuring aan de bevoegde privacy toezichthouder dienen te
worden voorgelegd. De Europese Commissie verwacht in de
toekomst dat met name multinationals op grotere schaal
voor deze laatste optie zullen kiezen.
3.
Wat verandert er?
Enkele hiervoor genoemde verschillen daargelaten is er tot
zover weinig nieuws ten opzichte van de huidige regels en
basisprincipes. Het zijn echter de hierna te bespreken veranderingen die laten zien dat met de nieuwe regels op een
aantal onderdelen een heel aantal nieuwe verplichtingen op
werkgevers afkomen per 25 mei 2018.
Allereerst zal het territoriaal toepassingsgebied van de
Verordening (EU) 2016/679 ruimer zijn: niet alleen ondernemingen met minstens één vestiging in Europa vallen
onder het bereik van de Verordening (EU) 2016/679, maar
ook niet-Europese ondernemingen die goederen of diensten
aanbieden aan personen binnen Europa.14 Gezien de voor de
arbeidsrechtelijke praktijk beperkte relevantie volstaan wij
hier met de enkele signalering daarvan.
De Verordening (EU) 2016/679 introduceert een aantal
nieuwe begrippen, te weten onder meer ‘profilering’, ‘pseudonimisering’, ‘privacy by design’, ‘privacy by default’ en
‘the right to be forgotten’, met de in het Nederlands wat ongelukkige vertaling ‘het recht op vergetelheid’. Voor zover in
een arbeidsrechtelijke context relevant komen deze nieuwe
termen hierna aan bod.
De volgende inhoudelijke wijzigingen in de Verordening
(EU) 2016/679 ten opzichte van de Privacyrichtlijn 1995 en
de Wbp behoeven in het kader van dit artikel een nadere
bespreking.
3.1
Meer rechten voor de betrokkene c.q. werknemer
De Verordening (EU) 2016/679 kent de betrokkene een aantal aanvullende rechten toe ter versterking van de controle
van de betrokkene over hem betreffende persoonsgegevens.
Ten eerste is het recht op inzage uitgebreid. Dit recht bestaat
al onder de Wbp; nieuw is dat de werknemer onder de Ver-
13
14
Art.l 26 lid 2 Privacyrichtlijn 1995.
Art. 2 (considerans 22-24) Verordening (EU) 2016/679.
Afl. 4 - april 2017
13
4/11/2017 4:52:18 PM
Artikelen
DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR?
ordening (EU) 2016/679 ook het recht heeft op informatie
over hoe lang de verantwoordelijke c.q. werkgever de gegevens beoogt te bewaren, of de gegevens worden gebruikt
voor automatische besluitvorming, of de werkgever voornemens is gegevens naar het buitenland te transporteren en
zo ja, welke waarborgen hij daarvoor heeft voorzien. Verder
dient de werkgever o.a. te informeren over het recht op rectificatie en het recht om een klacht in te dienen bij de privacy toezichthouder.
In de Wbp is de verplichting van de verantwoordelijke opgenomen om een betrokkene desgevraagd mede te delen of
hem betreffende persoonsgegevens worden verwerkt, en zo
ja, dan heeft de betrokkene het recht op een volledig overzicht daarvan. De Wbp koppelt daaraan het voorschrift dat,
als een derde naar verwachting bedenkingen zal hebben tegen het doen van een zodanige mededeling, de verantwoordelijke die derde eerst de gelegenheid geeft om zijn zienswijze naar voren te brengen indien de mededeling gegevens
bevat die hem betreffen (een en ander tenzij dit onmogelijk
blijkt of een onevenredige inspanning kost). De Verordening
(EU) 2016/679 is op dit punt iets anders van opzet. De Verordening (EU) 2016/679 bevat, explicieter geformuleerd dan
de Wbp, het recht van kopie: de werknemer mag op basis
daarvan vragen om een kopie van het volledige personeelsdossier.15 Voorts regelt de Verordening (EU) 2016/679 dat dit
recht op kopie geen afbreuk doet aan de rechten en vrijheden van anderen. De Wbp noemt de rechten en vrijheden
van anderen ook als uitzonderingsgrondslag voor het recht
op kopie16 . Het voorschrift dat een derde zijn zienswijze mag
geven, keert in de Verordening (EU) 2016/679 niet terug. In
een arbeidsrechtelijke context geldt vanaf de Verordening
(EU) 2016/679 dus dat de verantwoordelijke c.q. werkgever
bij het verstrekken van een kopie van i.c. bijvoorbeeld een
personeelsdossier, zal moeten nagaan of de privacy rechten
van derden daarmee niet worden geschonden. Die derde
zou bijvoorbeeld een collega kunnen zijn, of een contactpersoon bij een klant.
In de huidige Nederlandse rechtspraak over verschaffing
van het personeelsdossier aan de werknemer werd een nuance aangebracht: het recht van een werknemer om een
kopie van zijn personeelsdossier op te vragen, strekt zich
niet uit tot interne notities die persoonlijke gedachten van
medewerkers van de werkgever bevatten en uitsluitend
bedoeld zijn voor intern overleg en beraad, tenzij op grond
van die notities een definitief rapport is opgemaakt.17 Wij
verwachten dat deze lijn ook onder de Verordening (EU)
2016/679 de toets der kritiek zal doorstaan.
15
16
17
Art. 35 lid 1 en 2 Wbp, art. 15 lid 3 en 4 en considerans 63 en 64 Verordening (EU) 2016/679. In considerans 63 Verordening (EU) 2016/679 staat
overigens nog dat, indien een verantwoordelijke een grote hoeveelheid
gegevens betreffende de betrokkene verwerkt, de verantwoordelijke de
betrokkene voorafgaand aan de informatieverstrekking moet kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft. Het is de vraag of in een arbeidsrechtelijke context snel aan dit criterium zal worden voldaan.
Art. 43 sub e Wbp.
HR 8 februari 2013, JAR 2013/72.
14
T2_ArbeidsRecht_1704_bw_V02.indd 14
De tweede wijziging is het hiervoor genoemde recht van
vergetelheid. Ook dit is een recht dat op basis van rechtspraak al bestond onder de Privacyrichtlijn 1995, via de zogeheten Google Spain zaak.18 De Verordening (EU) 2016/679
legt dit recht uitdrukkelijk vast in artikel 17 (en considerans
65). Hierin wordt opgesomd dat dit recht van vergetelheid
onder meer bestaat als de verwerking niet langer nodig is
voor verwezenlijking van het doel, als de verwerking enkel
berustte op de toestemming van de werknemer en de werknemer deze toestemming intrekt, als hij gegronde bezwaren maakt tegen de verwerking of als een rechtsgrond voor
de verwerking ontbreekt.
Hieraan gekoppeld kent de Verordening (EU) 2016/679 ook
het recht op beperking van de verwerking: bepaalde gegevens zouden dan moeten worden gemarkeerd zodat voor
de werkgever duidelijk is voor welke doeleinden de verwerking is uitgesloten, althans voor de verwerking waarvan de werknemer geen toestemming heeft gegeven. Het is
mogelijk dat hier in de toekomst discussies over gaan ontstaan, bijvoorbeeld als een werkgever en werknemer in een
arbeidsconflict geraken en de werknemer vraagt bepaalde
gegevens te verwijderen of de verwerking ervan te beperken en de werkgever meent redenen te hebben om niet gehouden te zijn aan dit verzoek te voldoen.
De derde wijziging is het recht op overdraagbaarheid van
gegevens.19 Dit recht is in beginsel bedoeld als middel om
het voor een betrokkene makkelijker te maken om gegevens
over te hevelen van de ene dienstverlener naar de andere
en behoeft daarom in een arbeidsrechtelijke context geen
verdere bespreking.
De werkgever dient in beginsel binnen een maand op de
verzoeken van de werknemer te reageren. Als de werkgever
geen gevolg geeft aan een verzoek van de werknemer, moet
hij de werknemer dit tijdig en schriftelijk laten weten, welk
bericht informatie dient te bevatten over de mogelijkheid
om een klacht in te dienen bij de privacy toezichthouder of
naar de rechter te stappen.20
3.2
Meer verplichtingen voor verwerkingsverantwoordelijke c.q. werkgever
Tegenover de toegenomen rechten van de werknemer staan
ten eerste, separaat in de Verordening (EU) 2016/679 opgesomd, de verplichtingen van de werkgever als verwerkingsverantwoordelijke om de werknemer tijdig informatie
te verschaffen omtrent de verwerking van diens persoonsgegevens: de werkgever moet de werknemer informeren
over het doel van de verwerking, de contactgegevens van de
18
19
20
HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317: als men via Google
zocht naar de Spaanse jurist Mario Costeja Gonzalez, dan toonde Google in
de zoekresultaten een negatief persartikel over hem uit een zeer ver verleden. De Spaanse jurist vorderde in rechte dat dit zoekresultaat niet meer
zou worden getoond. Het HvJ EU oordeelde uiteindelijk dat mensen onder
bepaalde voorwaarden het recht hebben op verwijdering van zoekresultaten op hun naam.
Art. 20 en considerans 68 Verordening (EU) 2016/679.
Art. 12 lid 3 en 4 Verordening (EU) 2016/679.
Afl. 4 - april 2017
ArbeidsRecht 2017/21
4/11/2017 4:52:18 PM
Artikelen
DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR?
eventueel aanwezige functionaris gegevensbescherming,
de bewerkers die in het kader van de arbeidsrelatie gegevens van de werknemer zullen verwerken, of de werkgever
gegevens naar het buitenland zal transporteren en zo ja,
welke waarborgen er zijn, waar de werknemer heen kan in
geval van klachten et cetera. Ook dient de werkgever aan te
geven hoe lang hij de gegevens zal bewaren (hierop wordt
later nog ingegaan bij bespreking van de Uitvoeringswet) en
moet de informatieverschaffing uitdrukkelijk het recht bevatten dat een werknemer een eenmaal gegeven toestemming weer mag intrekken.21 Kortom, de werkgever dient
voor aanvang van de arbeidsrelatie de werknemer te wijzen
op al zijn rechten op privacy-gebied (iets wat onder Wbp
overigens ook al moet, maar in feite zeer weinig gebeurt).
De werkgever zal op dit punt in de toekomst dus moeten
gaan werken met een algemene informatiebrief aan werknemers, en hij zal op voorhand per persoonsgegeven moeten nadenken over wat de rechtsgrond voor de verwerking
is. De informatievoorziening dient ook in begrijpelijke taal
en in gemakkelijk toegankelijke vorm plaats te vinden.
Een tweede wijziging voor de werkgever onder de Verordening (EU) 2016/679 is de doorhaling van de meldingsplicht
van de gegevensverwerking, thans verwoord in art. 27 van
de Wbp. Dit ter verlaging van de administratieve rompslomp
die dit meebracht.22 In plaats daarvan introduceert de Verordening (EU) 2016/679 de documentatieplicht: werkgevers
dienen een register bij te houden van hun verwerkingsactiviteiten, waarbij alle hiervoor bedoelde informatieverstrekking aan de werknemers ook voor de eigen administratie
dient te worden vastgelegd. Deze plicht geldt voor grotere
ondernemingen (250 werknemers of meer) en voor ondernemingen die op grote schaal gegevens van individuen verwerken (te denken valt aan recruitment bedrijven die op
grote schaal gegevens van kandidaten verwerken), of indien
er sprake is van verwerking van gevoelige persoonsgegevens (bijvoorbeeld arbodiensten). Er bestaat een grote overlap van de nieuwe rechten van werknemers, de informatieplicht van werkgevers en de hier bedoelde registratieplicht.
Werkgevers dienen bijtijds documenten in orde te hebben
om te zorgen voor compliance op al deze drie onderdelen.
Een derde wijziging voor de werkgever is de verplichting
voor sommige bedrijven om een functionaris voor de gegevensverwerking aan te stellen.23 De instelling van een
functionaris is onder de Wbp optioneel. Op grond van de
Verordening (EU) 2016/679 is het een verplichting voor
publieke overheden en voor particuliere bedrijven om een
functionaris in te stellen indien i) de verwerking door een
verwerkingsverantwoordelijke wordt uitgevoerd die als
kern – en aldus hoofdtaak – heeft verwerkingsactiviteiten
uit te voeren die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen; of ii) indien de
21
22
23
Art. 14 en considerans 60-62 Verordening (EU) 2016/679.
Standaard personeelsgegevens zijn naar huidig recht al vrijgesteld door
middel van het Vrijstellingsbesluit.
Art.37 Verordening (EU) 2016/679. Dit mag een werknemer van de organisatie zijn, maar ook een zelfstandige dienstverlener.
ArbeidsRecht 2017/21
T2_ArbeidsRecht_1704_bw_V02.indd 15
onderneming hoofdzakelijk is belast met de verwerking van
bijzondere persoonsgegevens. Hoe deze nogal vage definitie
dient te worden ingevuld – en dus welke bedrijven onder
deze plicht komen te vallen – is vooralsnog onduidelijk. Zo
zal de toekomst moeten uitwijzen of bijvoorbeeld verzekeringsmaatschappijen onder categorie i) en/of ii) vallen.
Een vierde wijziging die werkgevers direct raakt, is de verplichting tot verbeterde beveiliging van persoonsgegevens,
uiteraard verband houdende met de razendsnelle technologische ontwikkelingen. De Verordening (EU) 2016/679
verplicht tot een methodische aanpak, waarbij een zogeheten gegevensbeschermingseffectbeoordeling (‘Privacy Impact
Assessment’) moet plaatsvinden. Het is de bedoeling dat de
gegevensbescherming, ook en juist op het punt van beveiliging, al vanaf het begin van de gegevensverwerking een
aandachtspunt vormt (een beginsel wat in de Verordening
(EU) 2016/679 wordt omschreven als privacy by design24 ).
Deze wijziging vergt voornamelijk input op ICT-gebied
(door bijvoorbeeld een IT-auditor).
Ten slotte wordt genoemd de meldplicht bij datalekken. Deze
plicht is voor Nederland niet nieuw, aangezien de Wbp de
meldplicht datalekken sinds 1 januari 2016 al kent.25 In een
arbeidsrechtelijke context valt te denken aan een werknemer die een gegevensdrager, bijvoorbeeld een smartphone,
tablet of laptop in de trein laat liggen, of dat een bepaald
afgeschermd onderdeel van een HR-systeem per ongeluk
toegankelijk is voor het hele bedrijf. Dergelijke incidenten
geven onder omstandigheden de plicht tot melding bij de
Autoriteit Persoonsgegevens (‘AP’).26
3.3
Toestemming werknemer
Aparte aandacht verdient nog de door werkgevers veel gevraagde toestemming van de werknemer als één van de
gronden voor verwerking door zijn werkgever. Ook onder
de huidige regels moet voor toestemming sprake zijn van
een ‘vrije, specifieke en op informatie berustende wilsuiting waarmee een betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt’.27 De definitie
onder de Verordening (EU) 2016/679 is ongeveer, maar niet
precies gelijkluidend,28 zodat de vraag ontstaat of het begrip
toestemming in de toekomst anders moet worden ingevuld.
Vaststaat in elk geval dat de ‘toestemming van de betrokkene’ in een arbeidsrelatie een erg onzekere verwerkingsgrond vormt. Dit wordt in de considerans bij de Verordening
(EU) 2016/679 genoemd.29 In de MvT bij de Wbp is hierover
te lezen dat, indien de toestemming van een betrokkene
24
25
26
27
28
29
Voor de volledigheid: dit onderscheidt zich van de andere genoemde nieuwe term uit de Verordening (EU) 2016/679: privacy by default. Dit houdt
kort gezegd in in dat de meest privacy-vriendelijke instellingen voor de
Verordening (EU) 2016/679 de norm zijn.
Wet Meldplicht Datalekken, Stb. 2015/230, zie m.n. art. 34a Wbp.
Ten weten als het gaat om gevoelige persoonsgegevens of er om een andere
reden sprake is van een (aanzienlijke kans op) ernstige nadelige gevolgen
voor de bescherming van de persoonsgegevens.
Art. 1 sub i Wbp.
Art. 4 sub 11 Verordening (EU) 2016/679.
Art. 7 en considerans 43 Verordening (EU) 2016/679.
Afl. 4 - april 2017
15
4/11/2017 4:52:18 PM
Artikelen
DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR?
niet voldoet aan de genoemde eisen of als deze wordt ingetrokken, de verantwoordelijke zich dan niet alsnog op één
van de andere verwerkingsgronden zou kunnen beroepen.30
Volgens ons blijkt uit de tekst van art. 6, lid 1 van de Verordening (EU) 2016/679 echter dat dit naar komend recht
waarschijnlijk anders is. Er staat:
–
“De verwerking is alleen rechtmatig indien en voor zover
aan ten minste een van de onderstaande voorwaarden is
voldaan:”
Volgens ons kan de werkgever onder de Verordening (EU)
2016/679 dus juist wel terugvallen op een andere rechtsgrond indien de ene niet succesvol blijkt. Wat daarvan zij,
het feit dat een toestemming in een arbeidsrelatie niet snel
aan de genoemde vereisten voor rechtsgeldigheid zal voldoen, is op zichzelf al een reden voor werkgevers om zoveel
mogelijk te vermijden dat zij de verwerking op toestemming
baseren, zeker als deze zeer algemeen geformuleerd is.
–
In veel arbeidsovereenkomsten wordt een bepaling opgenomen dat de werknemer door ondertekening zijn toestemming geeft voor de verwerking van zijn persoonsgegevens.
Los van de vraag of het wel nodig is om toestemming van
werknemers te vragen voor de verwerking van voor de
arbeidsrelatie relevante persoonsgegevens – één van de
gronden voor rechtsgeldige verwerking is uitvoering van
een overeenkomst waarbij de betrokkene partij is, i.c. is dat
de arbeidsovereenkomst – zal een dergelijke toestemming
geen effect hebben: vanwege de gezagsverhouding tussen
werkgever en werknemer is in het algemeen geen sprake
van de vereiste vrije wilsuiting, zodat een dergelijke veel te
algemeen geformuleerde en niet toegelichte toestemming
geen waarde heeft. Wel menen wij dat het binnen de arbeidsrelatie mogelijk is dat een toestemming wordt gegeven
die wel de toets der kritiek doorstaat, bijvoorbeeld als een
Amerikaans moederbedrijf bepaalde, beperkte gegevens
van een werknemer nodig heeft voor toekenning van long
term incentives; als in een separate overeenkomst daaromtrent een voor dat afgebakende onderdeel toestemming
wordt gevraagd en verkregen, valt niet in te zien waarom
deze toestemming niet vrijelijk, specifiek en geïnformeerd
zou kunnen worden gegeven.
3.4
Overige wijzigingen
De voornaamste overige wijzigingen in de Verordening (EU)
2016/679 zijn:
– Het ‘one-stop-shop’ principe: onder de Verordening (EU)
2016/679 zal er in internationale situaties één leidende
privacy toezichthouder worden aangesteld, te weten de
toezichthouder van de lidstaat waar de hoofdvestiging
van de groep ondernemingen ligt.31 Deze toezichthou-
4.
31
Kamerstukken II 1997/98, 25892, 3 (MvT), p. 81-82. Zie ook: F.C. van der
Jagt, Als ja misschien toch nee is: ‘de toestemming van de werknemer voor
de verwerking van persoonsgegevens’, TAP 2013/4.
De hoofdvestiging is in beginsel de plaats waar een onderneming haar
centrale administratie in de EU heeft, zie art. 4 lid 16 Verordening (EU)
2016/679.
16
T2_ArbeidsRecht_1704_bw_V02.indd 16
Nederland: wetsvoorstel Uitvoeringswet
Ondanks het doel om een einde te maken aan de versnippering van regels binnen de EU bevat de Verordening (EU)
2016/679 op een heel aantal plaatsen de mogelijkheid voor
iedere lidstaat om eigen of nadere regels te stellen. Nederland is voortvarend te werk gegaan: recentelijk, op 9 december 2016 is het Nederlandse wetsvoorstel Uitvoeringswet
Algemene verordening gegevensbescherming33 gepubliceerd. Deze Uitvoeringswet is onderdeel van een breder
pakket dat in zijn geheel de Verordening (EU) 2016/679 zal
uitvoeren respectievelijk implementeren. Beoogd is om de
Verordening (EU) 2016/679 beleidsneutraal te implemen32
33
30
der is dan de enige gesprekspartner van de multinational, en zal waar nodig overleg moeten plegen met de
autoriteit van een ander betrokken land.
Strengere regels voor verwerkers: werkgevers maken
op grote schaal gebruik van derden die namens hen
gegevens verwerken (bijvoorbeeld arbodiensten, pensioenuitvoerders, maar bij grotere ondernemingen
wordt soms de gehele HR administratie door een derde
uitgevoerd). Onder de Wbp is het uitgangspunt dat de
werkgever wettelijk jegens de werknemer de eindverantwoordelijke blijft, zij het dat hij bepaalde verplichtingen schriftelijk kan – en moet – opleggen aan
de verwerker in een bewerkingsovereenkomst. Onder
de Verordening (EU) 2016/679 geldt een reeks aanvullende en eigen plichten en verantwoordelijkheden voor
bewerkers. Zij moeten voldoende garanties bieden dat
de Verordening (EU) 2016/679 wordt nageleefd. Alle bewerkersovereenkomsten die momenteel in gebruik zijn
zullen dus onder de loep moeten.32
Een hoger sanctierisico: voor een aantal inbreuken op
de Verordening (EU) 2016/679 kan de boete oplopen
tot € 10 miljoen of, voor ondernemingen, tot 2% van de
totale wereldwijde jaaromzet in het voorgaande boekjaar. Deze boetes staan op onder meer niet naleving van
de plicht tot het aanstellen van een functionaris voor de
gegevensbescherming of de plicht tot het bijhouden van
een verwerkingsregister. Voor andere, zwaardere overtredingen geldt een boete van maximaal € 20 miljoen
of maximaal 4% van de totale wereldwijde jaaromzet in
het voorgaande boekjaar. Te denken valt hierbij aan het
niet naleven van de basisbeginselen van de gegevensverwerking, gegevensverwerking zonder rechtsgrond,
rechten van betrokkenen c.q. werknemers niet waarborgen, doorgifte buiten de EU zonder waarborgen of
een bevel van de privacy autoriteit niet naleven. Tegen
oplegging van deze sanctie staat beroep open bij de
rechtbank.
Art. 28 en considerans 81 Verordening (EU) 2016/679.
Wetsvoorstel Regels ter uitvoering van Verordening (EU) 2016/679 van
het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens en
tot intrekking van Privacyrichtlijn 1995 (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (“Uitvoeringswet Algemene verordening
gegevensbescherming”), gepubliceerd op 9 december 2016.
Afl. 4 - april 2017
ArbeidsRecht 2017/21
4/11/2017 4:52:18 PM
Artikelen
DE EUROPESE PRIVAC Y VERORDENING: WERKGEVER, BENT U ER KL A AR VOOR?
teren, aldus de opstellers van het wetsvoorstel. Het is de
bedoeling dat per de datum van inwerkingtreding van de
Verordening (EU) 2016/679 en de Uitvoeringswet, de Wbp
wordt ingetrokken.34
Met de intrekking van de Wbp sneuvelt ook het daaraan gekoppelde Vrijstellingsbesluit Wbp. Dit is, in elk geval voor
de arbeidsrechtpraktijk, een aderlating te noemen. Het Vrijstellingsbesluit Wbp bevatte immers juist voor de arbeidsrechtpraktijk een aantal nuttige bewaartermijnen, zoals
de maximale bewaartermijn van sollicitantengegevens (in
beginsel vier weken) en personeelsgegevens (twee jaar). Het
is nog de vraag of een werkgever, wanneer hij deze termijnen vanaf mei 2018 blijft hanteren, compliant is met het vrij
algemeen geformuleerde art. 5 lid 1 sub e uit de Verordening (EU) 2016/679, welke voorschrijft dat ‘gegevens worden bewaard in een vorm die het mogelijk maakt gegevens
niet langer te bewaren dan nodig is voor de verwezenlijking
van het doel waarvoor de verwerking noodzakelijk was’. Te
verwachten valt dat dit wel het geval zal zijn. Immers, het
Vrijstellingsbesluit Wbp is een concrete invulling van de algemene norm uit art. 10 van de Wbp, die gelijkluidend is
aan het hiervoor genoemde art. 5 lid 1 sub e Verordening
(EU) 2016/679.
Wat daar verder van zij, werkgevers in de EU beschikken nu
reeds over voldoende informatie om in elk geval een start
te maken met aanpassing van hun HR-systemen en privacybeleid aan de komende regels. De boeteniveaus laten zien
dat het de Europese Commissie menens is met de oplegging
van de nieuwe privacyregels en met het toezicht op naleving hiervan. Dergelijke boeteniveaus zorgen ervoor dat
het dossier privacybescherming bij ondernemingen, ook op
arbeidsrechtelijk vlak, naar verwachting niet onderop de
spreekwoordelijke stapel komt te liggen.
Specifiek op arbeidsrechtelijk vlak bevat de Verordening
(EU) 2016/679 in art. 88 de uitdrukkelijke mogelijkheid voor
lidstaten om nadere regels te stellen. Van deze mogelijkheid lijkt de Nederlandse wetgever geen gebruik te maken:
de Uitvoeringswet reageert op art. 88 Verordening (EU)
2016/679 uitdrukkelijk met:
“Er is geen behoefte om gebruik te maken van de ruimte
die deze bepaling aan het lidstatelijk recht biedt.”
5.
Tot slot
Doordat er op veel meer plaatsen dan vooraf wellicht voorzien ruimte wordt gegeven tot het vaststellen van nadere
regels, gaat er in de toekomst toch weer een situatie ontstaan waarin veel EU-lidstaten hun eigen specifieke regeling zullen hebben. Op dat punt is het ‘privacy project’ dus
niet geheel geslaagd te noemen. Ook blijven er nog veel
vragen open, zoals bijvoorbeeld de vraag of onder de Wbp
gesloten EU-modelcontracten voor doorgifte naar een land
zonder passend beschermingsniveau onder de Verordening (EU) 2016/679 nog zullen voldoen of opnieuw moeten
worden gesloten, hoe concreet invulling dient te worden
gegeven in arbeidsrechtelijke situaties aan de regels uit de
Verordening (EU) 2016/679 en wat nu voor het arbeidsrecht
hanteerbare bewaartermijnen zijn na het wegvallen van het
Vrijstellingsbesluit Wbp. Het feit dat de Nederlandse wetgever geen gebruikmaakt van de mogelijkheid om voor de
arbeidsrelatie nadere regels te stellen, zien wij als een gemiste kans.
34
MvT bij wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming, p. 19.
ArbeidsRecht 2017/21
T2_ArbeidsRecht_1704_bw_V02.indd 17
Afl. 4 - april 2017
17
4/11/2017 4:52:18 PM
Download