HR en arbeidsvoorwaarden , Nieuw in de OR / WOR
AVG Functionaris Gegevensbescherming en OR

De Wet bescherming persoonsgegevens vervangen door de AVG

Per 25 mei 2018 is de WBP vervangen door de Algemene verordening gegevensbescherming (AVG). Artikel 37 AVG verplicht een (groot) aantal organisaties en bedrijven om een Functionaris Gegevensbescherming (FG) aan te wijzen.

Datalekken

Ook is per 25 mei 2018 de Wet meldplicht datalekken (WMD) vervallen en is deze meldplicht opgenomen in de AVG (art.33). Bedrijven zijn verplicht om bij de Autoriteit Persoonsgegevens (AP) te melden wanneer gevoelige persoonsgegevens van burgers, cliënten en klanten of van het eigen personeel “op straat” terecht zijn gekomen.
Bij datalekken gaat het bijvoorbeeld om het verliezen van een stick, een gestolen laptop, een verloren bedrijfstelefoon of gehackte databestanden. Maar ook als binnen de onderneming per vergissing (gevoelige) privacygegevens van medewerkers bij een ongeautoriseerde collega of leidinggevende terechtkomen.

Functionaris Gegevensbescherming

Artikel 37 AVG verplicht een (groot) aantal organisaties en bedrijven om een Functionaris Gegevensbescherming (FG/DPO: Data Protection Officer) aan te wijzen.
Het betreft:

a) alle overheidsinstanties en -organen;

b) alle bedrijven en organisaties die persoonsgegevens verwerken “die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen”;

c) alle bedrijven en organisaties die op grote schaal persoonsgegevens verwerken “van bijzondere categorieën van gegevens” (als ras, geloof, lidmaatschap van een vakbond e.d.) en met betrekking tot “strafrechtelijke veroordelingen en strafbare feiten”.

De WBP regelt reeds in artikel 62, 63 en 64 (een vrijwillige) aanstelling en taken van een FG.

OR en privacybeleid

De OR heeft over het privacybeleid voor zover het intern toezicht de gegevensbescherming van het personeel raakt, het instemmingsrecht.

Doel en taken van de FG (DPO)

De Functionaris Gegevensbescherming moet er voor zorgen dat de ondernemer voldoet aan zijn verplichtingen uit de AVG.

De taken van de FG (DPO) zijn onder meer:
– informeren en adviseren over de wettelijke verplichtingen en toezien op naleving daarvan
– bewustmaking en opleiding van het uitvoerend personeel dat bij de verwerking is betrokken
– adviseren over een interne gedragscode die bijdraagt aan een juiste toepassing van de wettelijke verplichtingen
-toezien op een adequate beveiliging van gegevens en adviseren over betrouwbare ICT (privacy by disign)
-bij het in gebruik willen nemen van nieuwe ICT adviseren over het uitvoeren van een voorafgaand onderzoek om de gevolgen voor de privacy in kaart te brengen – privacy impact analyse (PIA): een zogenoemde gegevensbeschermingseffectbeoordeling
-informatievoorziening naar betrokkenen over hun rechten
-organiseren van een frequente zelfevaluatie en een jaarlijkse privacy-audit
-samenwerken met de Autoriteit  Persoonsgegevens (AP)

Instemmingsrecht OR

Aan het aanstellen of aanwijzen van een FG (DPO) gaan keuzes vooraf over (de grootte van) het takenpakket en bevoegdheden (niet alleen toezicht houden, signaleren en adviseren, maar bijvoorbeeld ook concrete beleidsvoorstellen doen), contractomvang, plaats binnen of buiten de onderneming, een eigen FG aanstellen of samen met andere ondernemingen of organisaties. Deze keuzes maken onderdeel uit van de besluitvorming over het intern toezicht op gegevensbescherming.

Een FG zal vooral toezien op een veilige gegevensverwerking van derden (burgers, klanten, cliënten), echter dit ‘externe’ privacybeleid zal sterk verweven zijn met het interne privacybeleid door toegang van de FG tot persoonsgegevens van het personeel. En wanneer het gaat om datalekken kan dat zowel persoonsgegevens van derden als van het eigen personeel betreffen. Directiebesluiten over het interne toezicht dat ook gegevens van het personeel raakt of voorzieningen betreffen die geschikt zijn voor het administratief of digitaal ‘volgen’ van personeel, zullen ter instemming aan de OR moeten worden voorgelegd.

Daar de keuzes over de functie en taken van de FG medebepalend zijn voor de verdere uitwerking van beleid en maatregelen, ligt het in de rede dat ook die keuzes onderdeel van het instemmingsrecht van de OR zijn en er pas na instemming van de OR een FG wordt aangewezen of aangesteld.

Cao

Op grond van artikel 88 AVG kunnen in een cao nadere bepalingen staan over de bescherming van persoonsgegevens van werknemers “in het kader van de arbeidsverhouding”. Het behoort ook tot het takenpakket van de FG dat deze er op toeziet dat de verwerkingsverantwoordelijke deze cao-afspraken naleeft.

OR aandachtspunten

-bijhouden relevante wetgeving (art.37 e.v. AVG, mogelijke cao-bepalingen)
-kennis hebben van de rechten van derden en van het personeel
-inzage in en meedenken over functieprofiel en (waarborgen) onafhankelijke positie FG
-afspraken maken over tijdpad en indienen van een of meerdere instemmingsverzoeken aan de OR bij voorgenomen wijzigingen t.a.v. het interne privacybeleid/regelingen en ICT-aanpassingen
-een interne klachtenprocedure die zowel voorziet in het kunnen indienen van een klacht aan de FG over privacy risico’s van het personeel als over het functioneren van de FG
-afspraken over een jaarverslag van de FG
-afspraken over het informeren van de aanwezigheid, werkzaamheden en taken van de FG bij alle (nieuwe) medewerkers

HR en arbeidsvoorwaarden

Een breed terrein waar de OR veel invloed op kan uitoefenen is ‘HR en arbeidsvoorwaarden’. Via onze trainingen en advies op maat kunnen wij jullie ondersteunen in het opzetten en het beoordelen van het beleid en de diverse regelingen. Leer de belangrijkste aspecten kennen en geef richting aan de rol van de OR.

Bekijk hier de trainingen voor HR en arbeidsvoorwaarden!

Inhoudelijke vragen?

OR Advieslijn 0343 – 473 473 of per e-mail via oradvieslijn@sbiformaat.nl

OR advieslijn

Kijk ook elders op onze website voor trainingen over OR en privacy!

Autoriteit  Persoonsgegevens: https://www.autoriteitpersoonsgegevens.nl/
NGFG (vereniging van Functionarissen Gegevensbescherming): http://www.ngfg.nl/

 

Deel dit bericht