U bent hier

Onderneming & Salaris
Personeelsadministratie4. Privacywetgeving naleven4.3 Verplichtingen organisatie
Voor Onderneming & Salaris

4.3 Verplichtingen organisatie

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: juni 2020

Bij het verzamelen en verwerken van persoonsgegevens van werknemers heeft uw organisatie diverse verplichtingen.

Informatie

tijdig verstrekken

grondslag

hoelang opgeslagen

toestemming intrekken

klacht

Zo moet uw organisatie bij het verzamelen van de persoonsgegevens bepaalde informatie tijdig aan de werknemer verstrekken, zoals:

  • als het van toepassing is, de contactgegevens van de functionaris voor gegevensbescherming;
  • de verwerkingsdoelen waarvoor de persoonsgegevens zijn bestemd, en de grondslag voor de verwerking;
  • de categorieën van persoonsgegevens;
  • eventueel de gegevens van derde partijen waarmee de persoonsgegevens worden gedeeld (wat slechts onder strikte voorwaarden mogelijk is!);
  • hoelang de persoonsgegevens (ongeveer) worden opgeslagen;
  • dat de werknemer het recht heeft op inzage, rectificatie, en vergetelheid (zie paragraaf 4.4). Maar ook het recht om beperking van de verwerking, het recht om bezwaar te maken en het recht op het overdragen van gegevens naar een andere partij;
  • als verwerking is gebaseerd op toestemming: dat de werknemer het recht heeft die toestemming te allen tijde in te trekken;
  • als de verwerking is gebaseerd op een gerechtvaardigd belang: de gerechtvaardigde belangen van uw organisatie of van een derde;
  • dat de werknemer het recht heeft een klacht in te dienen bij de toezichthouder Autoriteit Persoonsgegevens (AP);
  • waar uw organisatie de persoonsgegevens van de werknemer vandaan heeft gehaald en of die afkomstig zijn uit openbare bronnen.

Register

verwerkingen vastleggen

Veel organisaties zijn verplicht om een register bij te houden waarin zij alle verwerkingen van persoonsgegevens moeten vastleggen.

Het register met alle verwerkingen van persoonsgegevens moet in schriftelijke vorm – waaronder ook elektronische vorm valt – worden opgesteld en beschikbaar kunnen worden gesteld aan de toezichthouder AP als deze om inzage in de gegevens verzoekt.

aanvullende voorwaarden

verwerker inschakelen

De verplichting tot het bijhouden van het verwerkingsregister geldt in elk geval voor alle organisaties met minimaal 250 werknemers. Kleinere organisaties moeten er alleen aan geloven als ze aan één of meerdere van deze voorwaarden voldoen:

  • Het is waarschijnlijk dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de mensen over wie de gegevens gaan.
  • De verwerking van persoonsgegevens is niet incidenteel.
  • Het gaat om bijzondere persoonsgegevens (zie paragraaf 1.3) of om persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten.

Uitwisseling

Alleen onder voorwaarden mag een organisatie een verwerker inschakelen voor het verwerken van persoonsgegevens en die gegevens dus uitwisselen. Dat kan bijvoorbeeld zijn om de personeels- of salarisadministratie uit te laten voeren (zie ook hoofdstuk 8).

Uw organisatie mag uitsluitend een beroep doen op verwerkers die afdoende garanties bieden. Het gaat dan om het toepassen van passende technische en organisatorische maatregelen, oftewel de beveiliging.

voorafgaande toestemming

De verwerker mag op zijn beurt ook geen andere verwerker inzetten zonder voorafgaande schriftelijke toestemming van de verantwoordelijke, uw organisatie dus in dit geval. Overigens geldt de verplichting tot het bijhouden van een register met alle verwerkingen van persoonsgegevens net zo goed voor de ingeschakelde externe verwerker.