In België kennen we reeds een strenge privacybescherming waarmee werkgevers rekening moeten houden. De bestaande principes rond privacybescherming en de basisconcepten blijven voornamelijk hetzelfde, al breidt de AVG ook een aantal rechten en plichten uit, en voert ze enkele belangrijke nieuwe verplichtingen voor de werkgever in.

Heel wat persoonsgegevens die u verwerkt, zijn beschermd

Werkgevers verwerken een hoop persoonsgegevens van hun werknemers. Dit begint reeds op het moment dat er een dossier wordt aangemaakt met cv en sollicitatiebrief van een kandidaat-werknemer. Op dagelijkse basis worden ook andere persoonsgegevens verwerkt van de werknemers zoals loon- en personeelsadministratie, het personeelsnummer, een database van persoonlijke gegevens over werknemers, het doorsturen van gegevens via e-mail of het uploaden ervan naar het sociaal secretariaat of de groepsverzekeraar, de registratie van aanwezigheden, de camerabewaking, …

Onder persoonsgegevens vallen alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. De redenering is dat als je met de gegevens iemand kan identificeren, al is het via de sociale media, het persoonsgegevens zijn.

Zodra deze gegevens verwerkt worden, vallen ze onder de gegevensbeschermingsregelgeving. Het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens vallen allen onder de term ‘verwerken’.

Binnenkort strengere sanctionering

Hoewel we in België al een regelgeving hebben inzake de verwerking van persoonsgegevens met een aantal strafrechtelijk sancties bij niet-naleving, kwamen sancties in de praktijk zeer weinig voor. Via deze verordening zal de niet-naleving van de gegevensbescherming binnenkort veel strenger gesanctioneerd worden. De AVG voorziet in geldboetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet van een onderneming.

Privacycommissie als regulator

De privacycommissie krijgt naar aanleiding van de inwerkingtreding van de AVG de bevoegdheid om die sancties op te leggen. Bij het vaststellen van een inbreuk kan ze in eerste instantie de werkgever een waarschuwing of een berisping geven. Verder kan ze de werkgever een deadline opleggen om zich in overeenstemming met de regelgeving te stellen. Ze kan de werkgever verplichten om een verzoek van de werknemer te behandelen of een inbreuk aan een werknemer mee te delen. Ze kan een tijdelijke of definitieve verwerkingsbeperking opleggen of een opschorting van gegevensstromen naar een derde land gelasten. Ten slotte kan ze een administratieve geldboete opleggen.

De privacycommissie stelt alvast een 13 stappenlan ter beschikking op haar website, zodat werkgevers een to-do-lijst kunnen opstellen om zich voor te bereiden op de officiële ingangsdatum van de AVG.

Bron: Securex (securex.be)