Kies uw taal: English Nederlands

De impact van GDPR op het HR-beleid van Maxicon

nieuws 30.04.2018

Vanaf 25 mei gelden nieuwe maatregelen voor alle organisaties inzake privacy. GDPR (General Data Protection Regulation) is van toepassing op alle bedrijven en organisaties die producten of diensten aanbieden aan EU burgers. GDPR moet ervoor zorgen dat de gegevens van burgers beter beschermd zullen worden. Bedrijven die persoonsgegevens verzamelen zullen zich in lijn moeten stellen met deze nieuwe regels. Onder persoonsgegevens wordt alle informatie bedoeld waarmee een burger geïdentificeerd kan worden zoals zijn naam, adres, GSM nummer, mailadres, ...

GDPR.jpg

Impact van GDPR op de relatie tussen werkgever & werknemer

De GDPR-wetgeving is van toepassing op alle persoonsgegevens, inclusief de persoonlijke gegevens van iedere werknemer die verzameld worden in een context van tewerkstelling. Hierop zijn bovendien ook geen algemene uitzonderingen voorzien.

Er is wel een specifiek hoofdstuk voorzien rond de verwerking van persoonsgegevens in het kader van de arbeidsverhouding dewelke iedere lidstaat van de Europese Unie toelaat om regels vast te stellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding (artikel 88 GDPR). Met andere woorden, de algemene regel geldt voor iedereen, maar het staat iedere lidstaat vrij te bepalen hoe ze dit specifiek willen organiseren in de praktijk. 

Waar men vroeger gelijk welke informatie kon en mocht verzamelen mits toestemmig, hoewel deze vaak onbewust of onwetend werd gegeven, bepaalt de GDPR wetgeving dat er vanaf 25 mei 2018 nog slechts 6 redenen bestaan waarmee een onderneming de verwerking van persoonsgegevens kan rechtvaardigen: 

  1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn gegevens
  2. De verwerking is noodzakelijk voor uitvoering van een overeenkomst, bv. het sluiten van een arbeidscontract 
  3. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de onderneming rust
  4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere persoon te beschermen. 
  5. De verwerking is noodzakelijk voor de vervulling van een taak of een algemeen belang 
  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen 

Hoe dan ook dient de toestemming te gebeuren door middel van expliciete verklaring. Omtrent deze expliciete verklaring kunnen in de praktijk snel discussies ontstaan. Het plaatsen van een handtekening en aankruisen van een standaardzin waarin de toestemming duidelijk wordt gegeven zal dus de beste optie zijn. 

interview.jpg

GDPR in de praktijk bij Maxicon

De GDPR wetgeving heeft binnen het HR beleid van Maxicon op verschillende momenten een behoorlijke impact. In chronologische volgorde doorlopen we kort deze stappen en duiden we aan welke uitdagingen zich stellen. 

Aanwerving

Alles begint bij de sollicatiegesprekken. Hier voeren onze HR coördinators een grondige screening door van de kandidaat. Naast de inhoudelijke vragen wordt aan de kandidaat tevens gevraagd om heel wat gegevens in te vullen, zoals de klassieke persoonlijke gegevens maar ook referenties, bewijs van goed gedrag en zeden, ... 

Mag dit allemaal nog onder de nieuwe GDPR-wetgeving? In principe laat GDPR dit wel toe, maar voorziet ze ter gelijk ook het recht voor de kandidaat om vergeten te worden. Indien we de kandidaat niet verder weerhouden, hebben we deze gegevens dan wel nog nodig? GDPR gaat er van uit van niet waardoor de gegevens van een niet weerhouden kandidaat dus dienen verwijderd te worden. 

Voor het HR beleid is dit een behoorlijk grote impact daar het niet weerhouden van een kandidatuur heel wat verschillende redenen kan hebben. Zo komt het vaak voor dat we momenteel geen opdrachten hebben die passen bij het specifieke profiel van de kandidaat maar we in een verdere toekomst zeker nog een mogelijke samenwerking mogelijk zien. In dit geval wil onze HR coördinators de gegevens van de kandidaat bijhouden. 

Gelukkig voorziet de GDPR hier mogelijkheden! Wanneer de kandidaat zijn expliciete toestemming geeft om zijn gegevens toch bij te houden en dit voor een beperkte periode (vb. 1 jaar) mag Maxicon deze gegevens bijhouden. De beperkte tijdsperiode waarvoor deze toestemming wordt gevraagd heeft alles te maken met de eerder vermelde 6 grondredenen die de verwerking van persoonsgegevens rechtvaardigen. Zo zal het voor gelijk welke HR dienst moeilijk te verantwoorden zijn waarom men de gegevens van een kandidaat voor onbeperkte tijd zou willen bijhouden op basis van de 6 grondredenen. 

Tewerkstelling

Ook gedurende de tewerkstelling van onze werknemers zullen onze HR coördinators vanaf 25 mei 2018 een stuk aandachtiger moeten zijn voor GDPR. Zo stelt de vraag zich of het wel noodzakelijk is om een foto te plaatsen van een werknemer op de website. Bovendien zal hier sowieso steeds de toestemming van de persoon in kwestie nodig zijn. Een duidelijke toestemming is vooral een kwestie van duidelijke communicatie, iets waar bij Maxicon sowieso al langer van overtuigd zijn. De noodzakelijkheid van bepaalde zaken zal in de toekomst zeker nog voer voor discussie zijn bij iedere onderneming. 

Uitdiensttreding 

Na een uitdiensttreding van een werknemer lijkt het evident dat de gegevens van deze persoon niet meer nodig zijn, ware het niet voor de wettelijke verplichtingen van de ondernemingIedere onderneming is namelijk verplicht om personeeldossiers 5 jaar lang te bewaren, waarna we ze dienen te vernietigen. Opnieuw stelt zich hier de vraag welke informatie al dan niet noodzakelijk is om te voldoen aan de wettelijke verplichting om personeeldossiers bij te houden. 

Opnieuw gaan we bij Maxicon uit van transparantie en duidelijke communicatie naar de werknemers toe omtrent wat we met hun gegevens doen, waarom we ze verzamelen, ... Zo hebben de werknemers dankzij GDPR ook het recht om hun dossier ten allen tijde te bekijken, aan te passen wanneer nodig alsook het recht om vergeten te worden. 

dossiers.jpg

Wat hebben we bij Maxicon al gedaan? 

  1. Aanmaak van een dataregister. Een dataregister is niet alleen een praktische tool, maar ook vooral een wetellijke verplichting onder GDPR die moet duidelijk maken hoe de gegevens worden verwerkt, welke worden verwerkt en op welk moment ze worden verwerkt
  2. Duidelijke en transparantie communciatie naar onze werknemers hoe de persooneelsgegevens worden beheerd in de toekomst!
  3. Het doornemen van al onze standaarddocumenten (overeenkomsten, algemen voorwaarden, privacyverklaringen, ...) en deze waar nodig aangepast aan de GDPR wetgeving 

Praktische tips van onze HR coördinators

  1. Laat geen vertrouwelijke info onbewaakt achter op het bureau (vb. tijdens de middagpauze) 
  2. Print zo weinig mogelijk persoonlijke informatie af. Het is bovendien ook milieuvriendelijker! 
  3. Wegwerpen van een persoonsgegevens in een papiervuilbak is niet voldoende. Probeer deze zoveel mogelijk eerst door een papierversnipperaar te halen.
  4. Zorg dat het archief goed afgeschermd is en achter slot en grendel geplaatst wordt. Het toedoen van een kast is op zich genoeg, ze moet ook effectief gesloten zijn!