DPIA bij verwerking personeelsgegevens? Betrek tijdig de Ondernemingsraad!
De Autoriteit Persoonsgegevens heeft recentelijk het OR-privacyboekje gepubliceerd over de rol van de ondernemingsraad bij privacy op de werkvloer.
Personeelsdossiers. Registratie van ziekteverzuim. Camera’s op de werkplek. Screening van personeel. Werkgevers verwerken veel persoonsgegevens van hun werknemers. En sommige van die verwerkingen kunnen heel ingrijpend zijn. Het is daarom uiterst belangrijk dat werkgevers rekening houden met de privacy van hun werknemers. En dat hierover wordt gesproken binnen de organisatie. Daarbij spelen ondernemingsraden een cruciale rol. De ondernemingsraad (OR) is nauw betrokken bij afspraken over de verwerking van persoonsgegevens van personeel en bij personeelsvolgsystemen.
Onder de AVG kan een werkgever verplicht zijn een data protection impact assessment (DPIA) uit te voeren voordat hij kan beginnen met het verwerken van gegevens. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat er maatregelen kunnen worden genomen om deze risico’s te verkleinen. Een DPIA is verplicht wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.
In het OR-privacyboekje staat het volgende voorbeeld:
Werkgever X licht in het gps-trackervoorstel toe dat hij een DPIA heeft uitgevoerd en dat hij passende maatregelen zal nemen om alle risico’s te beperken die in kaart zijn gebracht. De OR wil graag meer weten over deze risico’s en vraagt daarom of werkgever X de DPIA met de OR wil delen.
Artikel 35 lid 9 AVG verplicht de werkgever (verwerkingsverantwoordelijke) echter al eerder tot het actief betrekken van de OR tijdens de uitvoering van een DPIA.
Artikel 35 lid 9 AVG zegt namelijk dat de werkgever de betrokkenen of hun vertegenwoordigers naar hun mening moet vragen over de voorgenomen verwerking.
Op het moment dat de DPIA betrekking heeft op de verwerking van personeelsgegevens dient de werkgever dus de Ondernemingsraad (als vertegenwoordiger van het personeel) te betrekken tijdens de uitvoering van de DPIA.
Is het niet verplicht om een DPIA uit voeren? Dan raadt de AP aan om een privacyrisicobeoordeling uit te voeren, als een vorm van goede bedrijfsvoering. Daar kan de OR dus ook om vragen.
Meer weten over de rol van de OR bij een DPIA, of hulp en/of training nodig om als OR een DPIA te beoordelen of eraan deel te nemen? De DPIA specialisten van PrivacyPeople helpen u graag. Klik hier voor meer informatie.