Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

19/09/2017

De “toestemming” in de relatie werkgever-werknemer onder de GDPR

Leesduur: 4 minuten

Als werkgever verwerk je een heleboel persoonsgegevens van je werknemers, denk maar aan: de familiale situatie, naam van een contactpersoon in geval van nood, informatie over allergieën of voorkeuren (bv. halal-maaltijden), foto’s van de bedrijfsuitstap. In veel gevallen wordt hiervoor als rechtsgrond de “toestemming” van de werknemer aangehaald. Echter, de GDPR legt bijkomende eisen op aan een “geldige” toestemming en… misschien is verwerking ook mogelijk op andere gronden?

 

Toestemming onder GDPR

Bij het verwerken van persoonsgegevens dient de Verwerkingsverantwoordelijke steeds te verifiëren of hij beschikt over een geldige rechtsgrond voor de verwerking van persoonsgegevens. Zo ook dient de werkgever na te gaan welke de rechtsgrond is voor de verwerking van persoonsgegevens van zijn werknemers. De rechtsgronden waarop men zich kan beroepen wijzigen niet substantieel onder de nieuwe privacywetgeving, maar de voorwaarden die aan de rechtsgrond “toestemming” worden gekoppeld worden wel aanzienlijk strenger.

De Verordening definieert toestemming als volgt: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene  door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaard.”

Dit impliceert dat het toestemmingsverzoek los moet staan van de algemene voorwaarden, gedocumenteerd moet worden en geen voorwaarde mag zijn voor het contract.

In de (gezags-)relatie werkgever/werknemer zal het bekomen van een vrije en ondubbelzinnige wilsuiting die ook een ondubbelzinnige actieve handeling inhoudt dus niet steeds eenvoudig zijn. Bovendien dient u zich ervan te vergewissen dat de werknemer gerechtigd is om deze “toestemming” later opnieuw in te trekken.

 

Andere wettelijke bases voor gegevensverwerking?

Aangezien de “toestemming” als rechtsgrond restrictiever wordt opgevat onder de nieuwe Verordening en deze bovendien later opnieuw kan ingetrokken worden, is de vraag welke andere mogelijke rechtsgronden voor de verwerking van persoonsgegevens in de relatie werkgever/werknemer zouden kunnen worden aangenomen.

In eerste instantie zou het uitvoeren van een overeenkomst met de werknemer een mogelijke rechtsgrond kunnen zijn voor bijvoorbeeld de verwerking van de naam, adresgegevens en rekeningnummer van de werknemer. Daarnaast zal het naleven van een wettelijke verplichting een mogelijk rechtsgrond kunnen zijn bijvoorbeeld voor de verwerking van deze persoonsgegevens noodzakelijk voor het vervullen van de verplichtingen van de werkgever op vlak van sociale zekerheid.

De werkgever zal zich tot slot ook kunnen beroepen op het vitaal belang van de betrokkene in bepaalde gevallen en soms zelfs op het gerechtvaardigd belang. In dit laatste geval dient de werkgever dan wel zorgvuldig de afweging te maken tussen zijn eigen belangen en de belangen en vrijheden van de werknemer.

 

Wat met gevoelige gegevens?

In het kader van een arbeidsverhouding worden vaak ook gevoelige gegevens verwerkt, denk maar aan: de lijst van gesyndiceerde werknemers, etnische/raciale achtergrond van een werknemer, gegevens over medische aandoeningen van de werknemer,…

In principe is de verwerking van gevoelige gegevens verboden. De verwerking van deze gegevens zal toch toegelaten zijn in geval van uitdrukkelijke toestemming van de betrokkene voor één of meer bepaalde doeleinden. Daarnaast voorziet de Verordening ook in een rechtsgrond voor de verwerking van gevoelige gegevens wanneer deze verwerking noodzakelijk is met het oog op de uitvoering van specifieke rechten van de werknemer of werkgever in het kader van het arbeidsrecht/sociale zekerheidsrecht, daarnaast kan ook worden verwezen naar de rechtsgrond van het “zwaarwegend algemeen belang”, de verwerking voor redenen van preventie en arbeidsgeneeskunde,…

 

Documenteer de rechtsgrond voor de verwerking

Als werkgever kan u zich bij de verwerking van persoonsgegevens van uw werknemers, naast toestemming meestal ook op één of meerdere andere gronden beroepen. Belangrijk is wel dat u deze keuze documenteert en motiveert waarom u meent een beroep te kunnen doen op een bepaalde rechtsgrond. U kan deze keuze documenteren in de Privacy Impact Assessment die u in principe dient uit te voeren in de aanloop naar de inwerkingtreding van de nieuwe Verordening in mei 2018.

Indien u zich toch op de “toestemming” van de werknemer dient te beroepen teneinde bepaalde persoonsgegevens van uw werknemer te kunnen verwerken, documenteer dan ook deze toestemming en zorg dat u een bewijs kan voorleggen van deze vrije en geïnformeerde toestemming van uw werknemer.

 

Vragen over de GDPR of privacywetgeving in het algemeen?

Contacteer Bart Van den Brande (bart@siriuslegal.be).

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.