Werkgevers verwerken veel persoonsgegevens van hun werknemers. En sommige van die verwerkingen kunnen heel ingrijpend zijn. Het is daarom belangrijk dat werkgevers rekening houden met de privacy van hun werknemers. In dit verband is een cruciale rol weggelegd voor de ondernemingsraad (OR). De OR is nauw betrokken bij afspraken over de verwerking van persoonsgegevens van personeel en bij personeelsvolgsystemen. Ter ondersteuning van de OR publiceerde de Autoriteit Persoonsgegevens (AP) daarom een handreiking: het OR-privacyboekje.
Het boekje biedt praktische handvatten voor de toepassing van de Algemene Verordening Gegevensbescherming (AVG) en het instemmingsrecht van de OR. In deze blog leest u een overzicht van de belangrijkste punten.
Instemmingsrecht OR
De OR heeft instemmingsrecht bij regelingen waarvoor persoonsgegevens van werknemers worden verwerkt en in het bijzonder bij personeelsvolgsystemen. Heeft de werkgever het voornemen een regeling te treffen voor de verwerking van persoonsgegevens van personeel of een personeelsvolgsysteem? Dan moet de werkgever dit dus ter instemming aan de OR voorleggen. Ook het wijzigen of intrekken van een bestaande regeling valt hieronder.
Gebruik van persoonsgegevens
Regelingen omtrent het verwerken van persoonsgegevens komen in vrijwel iedere organisatie voor. Want of het nu gaat om personeelsdossiers, de verzuim- en salarisregistratie, of de camera’s op de werkvloer; werkgevers verwerken veel persoonsgegevens van hun werknemers.
De AVG stelt strikte eisen aan het verwerken van persoonsgegevens, welke zijn uitgewerkt in een aantal beginselen. Zo mogen persoonsgegevens bijvoorbeeld alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en moeten die gegevens worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is. Voor wat betreft de beveiliging moet een werkgever passende technische of organisatorische maatregelen nemen. Het OR-privacyboekje geeft een heldere opsomming van deze basisvoorwaarden. Daarnaast worden tal van vragen gesteld, aan de hand waarvan de OR een regeling kan toetsen alvorens ermee in te stemmen. De OR kan bijvoorbeeld de volgende kritische vragen stellen:
- Maakt de werkgever voldoende gebruik van de mogelijkheden om persoonsgegevens te anonimiseren?
- Moet de werkgever de gegevens op individueel niveau verzamelen of kan de werkgever volstaan met gegevens op het niveau van een afdeling of van het bedrijf als geheel (geaggregeerd niveau)?
- Moet de werkgever over alle werknemers gegevens vastleggen? Of is het genoeg om informatie te verzamelen over werknemers in bepaalde functies of op bepaalde plaatsen?
- Wat doet de werkgever om de risico’s tijdig in beeld te krijgen?
- Worden de risico’s periodiek opnieuw beoordeeld?
- Is er een procedure vastgesteld om te testen of de beveiligingsmaatregelen (nog steeds) effectief zijn?
- Is het nodig een verwerker buiten de EU in te zetten?
- Hoe wordt de bescherming van gegevens van werknemers gewaarborgd bij het verstrekken van hun persoonsgegevens aan de verwerker buiten de EU?
De AP adviseert de OR verder ook om met de functionaris gegevensbescherming (FG) in gesprek te gaan over de verwerking van persoonsgegevens van werknemers. Zo kan de OR het advies van de FG opvragen en de FG tijdens een OR-bijeenkomst uitnodigen om een toelichting te geven.
Personeelsvolgsystemen
Daarnaast heeft de OR ook een instemmingsrecht ten aanzien van personeelsvolgsystemen. Een personeelsvolgsysteem is een systeem dat gericht is op – of geschikt is voor – waarneming van werknemers of controle van hun aanwezigheid, gedrag of prestaties. Gebruikt een werkgever een bepaald systeem hier niet voor, maar zou dit wel kunnen? Ook dan is dit een personeelsvolgsysteem.
Personeelsvolgsystemen komen daarom vrij veel voor in organisaties. Zeker nu werknemers vanwege de coronapandemie nog volop thuiswerken. Hierdoor zijn sommige werkgevers extra geïnteresseerd in manieren om hun personeel te monitoren. Zo bleek vorige maand uit een onderzoek van het CNV dat ruim een half miljoen thuiswerkenden voortdurend in de gaten worden gehouden door hun werkgever.
Andere voorbeelden van personeelsvolgsystemen zijn systemen die aanwezigheid, tijd en toegang registreren, een track & trace-systeem in (vracht)auto’s, zoals een gps-tracker en software die bijvoorbeeld toetsaanslagen, e-mailverkeer en/of internetgebruik van werknemers registreert. Ook cameratoezicht op de werkplek of een systeem waarin klantcontacten worden bijgehouden zijn personeelsvolgsystemen
Voor werknemers kan dit heel ingrijpend zijn en rekening houden met hun privacy is daarom belangrijk. Middels het instemmingsrecht is in dit verband een cruciale rol weggelegd voor de OR. Zo kan de OR een systeem toetsen en afspraken maken door alleen in te stemmen onder bepaalde voorwaarden.
Initiatief- en adviesrecht op het gebied van privacy
Verder beschikt de OR ook over een initiatiefrecht. Inhoudende, dat de OR zich ook op eigen initiatief kan uitspreken over het gebruik van personeelsgegevens of personeelsvolgsystemen. Dit kan bijvoorbeeld naar aanleiding van vragen van werknemers, een beveiligingsincident, of simpelweg omdat de OR vindt dat de werkgever ergens actie op moet ondernemen.
Tot slot heeft de OR een adviesrecht voor het invoeren of wijzigen van belangrijke technologische voorzieningen. Denk bijvoorbeeld aan het invoeren van een pasjessysteem, waarbij al snel persoonsgegevens worden verwerkt. Een werkgever zal in dat geval alvorens een besluit te kunnen nemen advies moeten inwinnen bij de OR. Adviseert de OR anders dan de werkgever wil besluiten, dan heeft de werkgever een opschortingsplicht. De uitvoering van het besluit wordt dan met een maand uitgesteld, zodat de OR in die periode een beroep kan aantekenen bij Ondernemingskamer van het Gerechtshof Amsterdam.
Betrek de OR op tijd
De werkgever moet een te nemen besluit schriftelijk aan de OR voorleggen. Hierbij verstrekt de werkgever een overzicht van de beweegredenen voor het besluit en de gevolgen die het besluit mogelijk voor de werknemers zal hebben. De OR beslist pas nadat over de betrokken aangelegenheid ten minste éénmaal overleg is gepleegd in een overlegvergadering. Na het besluit van de OR dient zo spoedig mogelijk schriftelijk aan de OR te worden medegedeeld welk besluit is genomen en met ingang van welke datum het besluit wordt uitgevoerd.
Mocht de OR niet instemmen met het voorgenomen besluit, dan kan een werkgever de kantonrechter om vervangende toestemming vragen. De OR is dus nauw betrokken bij afspraken over het gebruik van persoonsgegevens en personeelsvolgsystemen. Een besluit waarvoor geen instemming van de OR of toestemming van de kantonrechter is verkregen, is nietig. Het besluit van de werkgever is dan ongeldig.
Meer weten?
Mocht u vragen hebben, bijvoorbeeld naar aanleiding van een instemmingsaanvraag of over de rol van de OR in het kader van de AVG, neem dan contact op met Lora Mourcous.
