U bent hier

OR & Medezeggenschap
Instemmingsrecht5. Beschermer van privacy van personeel
Voor OR & Medezeggenschap

5. Beschermer van privacy van personeel

Dit hoofdstuk is eerder verschenen in Themadossier OR Rendement
Publicatiedatum: augustus 2022

In organisaties worden allerlei gegevens verzameld en opgeslagen. Als het gaat om persoonsgegevens gelden hiervoor strenge regels en moet de werkgever voldoen aan de privacywetgeving van de AVG. Daarnaast moet hij in een privacybeleid vastleggen hoe hij met deze gegevens omgaat. De OR heeft instemmingsrecht op elke regeling die gaat over de verwerking van persoonsgegevens.

aantasten

Er bestaan allerlei technieken om werknemers te volgen. Deze zijn meestal niet eens bedoeld om de gangen van de werknemer na te gaan, maar om de veiligheid of het gebruiksgemak te vergroten. Denk aan cameratoezicht in een fietsenstalling of gps in transportmiddelen. Ook zijn er allerlei administratiesystemen die personeelsgegevens vastleggen, zoals personeelsdossiers, personeelsvolgsystemen of de ziekteverzuimregistratie. Dit kan de privacy van werknemers aantasten, zeker als de beveiliging hiervan niet in orde is. Aan uw OR de taak om uitwassen te voorkomen!

Privacywetgeving

sanctie

De regels voor het verwerken van persoonsgegevens staan in de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) ziet er in Nederland op toe dat organisaties de regels rond de verwerking van persoonsgegevens goed naleven. Als uw organisatie de privacywetgeving overtreedt, kan de AP uw organisatie sancties opleggen. Dit loopt uiteen van een waarschuwing of berisping tot een last onder dwangsom of boete. Die boetes zijn niet mals. Afhankelijk van de ernst van de overtreding kunnen de boetes oplopen tot maximaal € 20 miljoen (en als dat niet voldoende is: 4% van de wereldwijde jaaromzet).

Nieuwe regels voor AVG-boetes bedrijven

omvang

startbedrag

Er komen nieuwe, EU-brede regels voor de berekening van boetes aan organisaties die de AVG overtreden. Deze zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders. De nieuwe regels wijken op drie punten af van de huidige boetebeleidsregels van de AP:

  • De omvang van de organisatie gaat zwaarder meewegen bij het bepalen van de hoogte van de boete. De omvang speelt dan vanaf het begin mee bij de berekening, niet meer alleen aan het eind.
  • Er komen drie categorieën overtredingen: laag, midden en hoog. Per categorie geldt een ander startbedrag.
  • Het boetebedrag wordt nu binnen een bepaalde bandbreedte bepaald. Onder de nieuwe regels geldt de bandbreedte voor het bepalen van het startbedrag. Dat bedrag kan nog worden verhoogd of verlaagd.

De nieuwe regels gelden alleen voor boetes aan bedrijven, niet voor overtredingen door overheidsinstanties.

5.1 Instemmingsrecht bij privacy

De wetgever vindt de bescherming van de privacy van werknemers van groot belang. Daarom is uw instemmingsrecht op dit gebied heel ruim. Uw OR heeft instemmingsrecht bij elke regeling die gaat over het verwerken en beschermen van de persoonsgegevens van alle in de onderneming werkzame personen (artikel 27, lid 1k WOR). Ook als uw bestuurder...

5.2 Zeer privacygevoelige gegevens

De OR moet alert zijn op wat er met persoonsgegevens kan gebeuren. Diefstal, misbruik of verlies ervan liggen op de loer. Een mondelinge toezegging dat dit niet zal gebeuren, is niet voldoende. Kijk bij het verzamelen van gegevens door de organisatie kritisch naar het gebruik en beheer. Wie heeft er toegang tot de gegevens? Is het voor iedereen,...