AVG voor werkgever en werknemer

Arthur Sweens
15 mei 2018
Ondernemings- en Faillissementsrecht

Een aparte categorie voor de AVG is de verwerking door een werkgever van persoonsgegevens van een werknemer. Om deze gegevens te mogen verwerken gelden specifieke voorschriften.

Arbeidsovereenkomst als grondslag

De verwerking van persoonsgegevens van werknemers zal meestal plaatsvinden op grond van de arbeidsovereenkomst. De werkgever heeft op grond van de arbeidsovereenkomst immers diverse verplichtingen die moeten worden nagekomen: het salaris laten verwerken en betalen, loonstroken toesturen, loonbelasting en premies betalen, informatie geven aan de arbodienst, kopie van het ID bewijs opslaan et cetera. De werkgever kan alleen aan deze verplichtingen voldoen als persoonsgegevens van de werknemer worden verwerkt.

Toestemming als grondslag

Voor meer specifieke of incidentele verwerkingen waarvoor de arbeidsovereenkomst niet volstaat, kan de werkgever aan de werknemer toestemming vragen. Denk hierbij bijvoorbeeld aan het maken en plaatsen van foto’s van werknemers op een website of sociale media, het verwerken van gezondheidsgegevens of arbeidsverleden. Dat toestemming is verleend wordt niet zomaar aangenomen en zeker niet in de relatie werkgever-werknemer. In die relatie is er immers sprake van een gezagsverhouding waardoor niet altijd helder is of de toestemming vrijelijk is gegeven. Een werknemer kan bijvoorbeeld bang zijn voor bepaalde sancties of een vervelende bejegening als hij over zij de toestemming niet verleend.

Voorwaarden voor rechtsgeldig toestemming

De toestemming van een werknemer kan alleen als rechtmatige grondslag voor de verwerking van persoonsgegevens worden gebruikt als het gaat om een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waaruit blijkt dat de werknemer door middel van een verklaring of een ondubbelzinnige actieve handeling de betreffende verwerking van de persoonsgegevens accepteert.

Toestemming bijzondere persoonsgegevens

Voor het verwerken van bijzondere persoonsgegevens, denk aan biometrische gegevens zoals een pasfoto of gezondheidsgegevens, is zelfs uitdrukkelijke toestemming vereist. Dit betekent dat toestemming niet kan worden afgeleid uit een handeling van een werknemer maar dat toestemming expliciet moet zijn verleend.

Aantonen toestemming

De werkgever moet ook achteraf kunnen aantonen dat een werknemer toestemming heeft verleend voor een bepaalde verwerking. In de meeste gevallen betekent dit dat toestemming schriftelijk moet worden vastgelegd een bewaard.

Intrekken toestemming

Voor werkgever is het goed zich te realiseren dat een werknemer altijd de mogelijkheid moet hebben een verleende toestemming weer in te trekken. Aan een dergelijk verzoek behoort de werkgever te voldoen. Dit kan betekenen dat persoonsgegevens moeten worden verwijderd als dat wordt gevraagd.

Bewaartermijnen

De bewaartermijn van personeelsgegevens is afhankelijk van het soort personeelsgegevens dat is verwerkt. Een werkgever kan zich aan de volgende bewaartermijnen houden:
 

Soort gegevenBewaartermijn
Personeelsadministratie fiscaal7 jaar na uitdiensttreding
Loonbelastingverklaringen en kopie ID bewijs5 jaar na uitdiensttreding
Er geldt geen wettelijke bewaartermijn voor verslagen van functionerings- en beoordelingsgesprekken, arbeidsovereenkomsten en wijzigingen hierin, correspondentie over benoeming, promotie, degradatie en ontslag, afspraken over werkzaamheden voor de ondernemingsraad, getuigschriften en administratieve verzuimgegevens.2 jaar na uitdiensttreding
Is er een arbeidsconflict (te verwachten) of loopt er een rechtszaak met de (ex-) werknemerBewaren zo lang dit nodig is om verweer te kunnen voeren
Sollicitatiegegevens: het is gebruikelijk dat een organisatie sollicitatiegegevens verwijdert uiterlijk vier weken na het einde van de sollicitatieprocedure. Wel kan de sollicitant toestemming geven om gegevens langer te bewaren. Bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie komt. Een termijn van maximaal één jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.Te verwijderen uiterlijk 4 weken na het einde van de sollicitatieprocedure.

 

Uit dit overzicht blijkt dat het nodig is om een personeelsdossier regelmatig en per soort persoonsgegevens op te schonen.

Dit artikel is geschreven door Arthur Sweens, advocaat voor ondernemers in Alkmaar en Den Helder.
Heeft u vragen bel Arthur Sweens op 0223-239 011 of mail naar sweens@knuwer.nl