Het OR-privacyboekje

De Autoriteit Persoonsgegevens (AP) heeft een handige handreiking gepubliceerd. Deze is speciaal bedoeld voor de OR om hem ondersteuning te bieden in de rol die hij speelt bij privacy op de werkvloer.

De OR heeft namelijk instemmingsrecht bij de vaststelling, wijziging of intrekking van een regeling die ziet op het verwerken en/of beschermen van persoonsgegevens van personen die in de organisatie werkzaam zijn (artikel 27, lid 1 onder k van de WOR).

 

Dit instemmingsrecht heeft de OR ook als het gaat om voorzieningen die gericht zijn op of geschikt voor de waarneming van of controle op aanwezigheid, gedrag of prestaties van personen die in de organisatie werkzaam zijn (artikel 27, lid 1 onder l van de WOR).

 

De handreiking geeft een paar voorbeelden van wat onder het begrip ‘persoonsgegevens’ valt, wanneer sprake is van een ‘verwerking’ van persoonsgegevens en wie binnen de organisatie de verantwoordelijkheid draagt voor de (juiste) verwerking van persoonsgegevens.

 

De handreiking biedt de OR ook een eerste globale afwegingskader waarbinnen een door de werkgever voorgelegde regeling minimaal beoordeeld moet worden. U moet hierbij denken aan:

• Worden de persoonsgegevens uitsluitend verwerkt voor het doel dat in de regeling staat en is dit doel gerechtvaardigd?
• Worden de persoonsgegevens rechtmatig en behoorlijk verwerkt?
• Hoe waarborgt de werkgever dat de persoonsgegevens juist en nauwkeurig worden verwerkt?
• Hoe geeft de werkgever gevolg aan zijn verplichting werknemers te informeren over het verwerken van hun persoonsgegevens voordat hij deze daadwerkelijk verwerkt?
• Verwerkt de werkgever niet meer persoonsgegevens dan hij ten hoogste nodig heeft voor het in de regeling omschreven doel?
• Heeft de werkgever de verwerking van persoonsgegevens op passende wijze beveiligd?

 

De AP legt de regels kort uit met het voorbeeld van gps-trackers.

 

Let wel op dat de praktijk een stuk weerbarstiger is dan uit deze globale handleiding blijkt.  Enerzijds is soms sneller sprake van een personeelsregistratiesysteem dan een werkgever zich beseft. Denk bijvoorbeeld aan het vastleggen van de deelnemers bij een interne cursus of de toegang tot een mailbox of agenda. Anderzijds is het soms juist niet direct helder of de AVG en de WOR van toepassing zijn. De vraag of en in hoeverre sprake is van persoonsgegevens, daar kan in de praktijk bijvoorbeeld over worden gediscussieerd. Ook zijn er in de praktijk veel voorbeelden, waarvan niet direct vaststaat of er sprake is van een ‘regeling’ of een ‘waarneming’ of ‘controle’. Kortom: ga dat steeds goed na.

Heeft u vragen?

Heeft u vragen over dit onderwerp, of wilt u een advies? Het expertteam Privacy & AVG van Capra Advocaten helpt u graag verder op weg.

 

Suzanne van Loon