Eagle Wings slaat zijn vleugels uit over jouw administratie zodat jij je zonder zorgen kan concentreren op de kerntaken van je onderneming.

General Data Protection Regulation (GDPR)

De General Data Protection Regulation (GDPR) is een officiële Europese wetgeving die van toepassing is op alle organisaties die gegevens van Europese burgers verzamelen en verwerken. Ook indien je een éénmanszaak of vereniging hebt dus.

Met persoonsgegevens wordt alle informatie bedoeld waarmee een natuurlijke persoon geïdentificeerd kan worden. Hieronder vallen onder andere namen, adressen, telefoonnummers, e-mailadressen, foto’s, klantennummers, IP-adressen, maar ook genetische en biologische gegevens. Het is je plicht om persoonsgegevens veilig op te slaan en te beveiligen via gepaste technische en organisatorische maatregelen.

De 2 belangrijke begrippen inzake GDPR zijn:
– Finaliteitsbeginsel: er moet duidelijk door de wet toegelaten doelstelling zijn voor registratie van de gegevens. Het is dus belangrijk dat er een rechtsgrond of actieve toestemming is toegekend aan de verwerkingsactiviteit. Anders mag er geen verwerking plaatsvinden.

– Proportionaliteitsbeginsel: de aard en het detail van de gegevens moeten aansluiten bij het doel waarvoor ze zijn verzameld. Het is noodzakelijk dat je kan verantwoorden voor welk vooropgesteld doel je de verwerkte persoonsgegevens nodig hebt, anders mag je ze niet langer bijhouden (purpose limitation).

Bron: https://www.datalink.be/blog/gdpr-voor-kmo/

Het AVG schrijft geen concrete bewaartermijn voor. Het uitgangspunt is dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk. Wat noodzakelijk is, hangt af van de situatie. Vandaar dat u zelf moet bepalen wat in uw situatie passend is.

 

GDPR / AVG sinds 25/05/2018 ter vervanging van de wet van 08/12/1992 Bescherming van persoonlijke levenssfeer.
GDPR = General Data Protection Regulation
AVG = Algemene Verordening Gegevensbescherming

 

GDPR en sollicitaties

Tijdens sollicitaties verzamelen werkgevers veel persoonsgegevens van sollicitanten. In de eerste plaats via hun sollicitatiebrieven en cv’s, maar het verzamelen van persoonsgegevens gebeurt ook op andere manieren.

Tijdens een sollicitatiegesprek kunnen aanwezige personen bijvoorbeeld aantekeningen maken van de antwoorden die een sollicitant geeft, het verloop van het gesprek en de indruk die zij van diegene krijgen. Deze nota’s mogen slechts bijgehouden worden zolang de selectieprocedure duurt en mogen dus achteraf, bij aanwerving, niet in het personeelsdossier bewaard blijven.
Er mogen niet meer gegevens in het personeelsdossier vastgelegd worden dan nodig is, en de gegevens moeten ter zake doen;
Heeft een sollicitant de functie niet gekregen? Dan is het gebruikelijk dat de organisatie zijn gegevens uiterlijk 4 weken na het einde van de sollicitatieprocedure verwijdert.

Sollicitanten kunnen wel toestemming geven om hun gegevens langer te bewaren. Bijvoorbeeld omdat er op een later tijdstip mogelijk een passende functie komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk.

GDPR en personeelsdossiers

Werkgevers zijn verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens in het personeelsdossier.
De werkgevers moeten de werknemers informeren, onder andere over welke gegevens zij verzamelen, voor welke doeleinden en op basis van welke rechtsgrond.
De persoonsgegevens moeten afgeschermd worden, zodat ze niet in verkeerde hand vallen en moeten op een geschikte manier bewaard worden zodat ze niet verloren gaan. De gegevens mogen niet langer bewaard blijven dan noodzakelijk is.
Werknemers moeten de mogelijkheid krijgen om hun gegevens in te kijken, te verbeteren en aan te passen, te beperken of te verwijderen.

Wanneer een werknemer uit dienst gaat, geldt voor sommige gegevens uit het personeelsdossier een fiscale bewaarplicht. Vb loonbelastingverklaring en een kopie van identiteitsbewijs moet de werkgever 5 jaar bewaren nadat een werknemer uit dienst gaat. Voor andere gegevens bestaat geen wettelijke bewaartermijn. Hier geldt de richtlijn van 2 jaar nadat de medewerker uit dienst is.

GDPR en publicaties op internet

Veel organisaties plaatsen persoonsgegevens van hun medewerkers op internet, zoals foto’s op Facebook of LinkedIn. De gevolgen hiervan kunnen groot zijn voor de mensen om wie het gaat. Onder meer omdat eenmaal op internet geplaatste gegevens jaren later nog vindbaar zijn. Dit kan bijvoorbeeld bij een sollicitatie nadelige gevolgen hebben.
Niemand mag zomaar persoonsgegevens van een ander op internet publiceren. Dit mag in principe alleen als daarvoor een wettelijke grondslag is uit de Algemene verordening gegevensbescherming (AVG). Eén van die grondslagen is toestemming. Vaak is om persoonsgegevens te publiceren op internet toestemming nodig van de mensen om wie het gaat. Staan iemands gegevens op internet, dan heeft diegene het recht om deze gegevens te laten verwijderen. Bijvoorbeeld omdat ze niet langer nodig zijn voor het doel waarvoor ze verzameld of verwerkt zijn, er geen rechtsgrond (meer) is voor verwerking of omdat de verwerking onrechtmatig is.

Ook voor een foto van een medewerker op intranet, moet de werkgever toestemming vragen en de medewerker informeren over het doel van zijn vraag.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/