Sociale verkiezingen: verlies de GDPR niet uit het oog

Bron: Kenniscentrum SD Worx

 

Sinds 25 mei 2018 is de Algemene Verordening inzake Gegevensbescherming (AVG of GDPR) rechtstreeks van toepassing in de lidstaten van de EU. Deze verordening omvat de Europese regelgeving rond de bescherming van persoonsgegevens. Tijdens de organisatie van de sociale verkiezingen in een onderneming worden er heel wat persoonsgegevens uitgewisseld. Denk aan de lijsten van kiezers, kandidaten, leden van het leidinggevend personeel, de oproepingsbrieven….

We overlopen samen met u de belangrijkste aandachtspunten:

1.Neem de verwerkingsactiviteiten met betrekking tot de sociale verkiezingen op in het register verwerkingsactiviteiten;

2.Bewaar de persoonsgegevens die u in het kader van het organiseren van de sociale verkiezingen verkreeg niet langer dan nodig. Houd hierbij wel rekening met de minimale wettelijke bewaartermijn;

3.Denk aan de beginselen van legaliteit, finaliteit, proportionaliteit en transparantie;

4.Neem technische en organisatorische maatregelen om de persoonsgegevens te beschermen;

5.Let op met de verspreiding van kiezerslijsten;

6.Sluit indien nodig een verwerkersovereenkomst.

 

Juridische inhoud

  1. Situering

Sinds 25 mei 2018 is de Algemene Verordening inzake Gegevensbescherming (AVG of GDPR) rechtstreeks van toepassing in de lidstaten van de EU. Deze Verordening omvat de Europese regelgeving rond de bescherming van persoonsgegevens. Bij de organisatie van de sociale verkiezingen in de ondernemingen komt een verwerking van persoonsgegevens door de werkgever kijken. Denk maar aan de lijsten van kiezers, kandidaten, leden van het leidinggevend personeel, de oproepingsbrieven, … Iedere werkgever moet dus aandacht hebben voor de GDPR-verplichtingen.

  1. Aandachtspunten

We overlopen de belangrijkste aandachtspunten in het kader van de sociale verkiezingen.

2.1. Denk aan het register van verwerkingsactiviteiten

Elke organisatie moet in principe een dataregister bijhouden. Dat is een overzicht van alle persoonsgegevens die de organisatie verwerkt. Ook de verwerkingen van persoonsgegevens met betrekking tot de sociale verkiezingen moeten er dus instaan.

2.2. Vergeet de bewaartermijnen niet

Ondernemingen mogen persoonsgegevens niet langer bewaren dan nodig. De GDPR voorziet geen concrete bewaartermijn voor persoonsgegevens. Maar ondernemingen moeten de bewaartermijnen in andere wetten uiteraard respecteren. De wetgeving sociale verkiezingen voorziet in verschillende verplichte minimale bewaartermijnen. Deze moet een onderneming dan ook in acht nemen. Wil een onderneming gegevens langer bijhouden dan deze minimale bewaartermijnen, dan moet ze duidelijk kunnen documenteren waarom ze dat wil doen.

2.3. Denk aan de beginselen van legaliteit, finaliteit, proportionaliteit en transparantie

Bij de verwerking van persoonsgegevens moet men steeds de algemene principes voor verwerking in het achterhoofd houden. Denk hier aan de beginselen van legaliteit, proportionaliteit, finaliteit en transparantie.

2.3.1. Legaliteits- en finaliteitsbeginsel

Zoals gezegd, impliceert de organisatie van de sociale verkiezingen de verwerking van persoonsgegevens. Deze verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting (Wet Sociale Verkiezingen). Het nagestreefde welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doel bestaat uit het organiseren van de sociale verkiezingen volgens de wettelijke vereisten. Organisaties mogen gegevens niet verwerken op een manier die onverenigbaar is met het doel waarvoor ze aanvankelijk zijn verzameld. Wil een werkgever de gegevens die hij verkreeg in het kader van de organisatie van sociale verkiezingen ook voor andere doeleinden gebruiken, dan vereist dit in principe een afzonderlijke rechtsgrond.

Let op: doorgifte van personeelslijsten aan een vakorganisatie voor propaganda kan niet zonder toestemming

De werkgever mag de persoonsgegevens van het personeel aan de vakorganisaties enkel doorgeven indien elke individuele werknemer hiertoe zijn voorafgaande ondubbelzinnige en geïnformeerde toestemming heeft gegeven. Er is immers geen wettelijke basis op grond waarvan deze doorgifte kan plaatsvinden. De Gegevensbeschermingsautoriteit bevestigt dit op haar website bij de https://www.gegevensbeschermingsautoriteit.be/met-het-oog-op-de-sociale-verkiezingen-binnen-een-onderneming-vraagt-een-vakorganisatie-bij-deze

Van werknemers die hun toestemming niet gaven, mag de onderneming de gegevens niet doorspelen.

2.3.2. Proportionaliteitsbeginsel

De Wet Sociale Verkiezingen bepaalt welke persoonsgegevens een onderneming moet verwerken in het kader van de sociale verkiezingen. Zorg er dan ook voor dat u er niet meer verwerkt dan die de wet oplegt.

2.3.3. Transparantiebeginsel

Ieder persoon van wie persoonsgegevens verwerkt worden, heeft een recht op informatie.

Deel uw werknemers dus mee:

  • welke persoonsgegevens u verwerkt bij de organisatie van de sociale verkiezingen:
  • op basis van welke rechtsgrond;
  • met welk doel;
2.4. Neem technische en organisatorische maatregelen

Persoonsgegevens moeten passend beveiligd worden door technische en organisatorische maatregelen. Denk hier ook aan tijdens de organisatie van de sociale verkiezingen. Stemmen uw werknemers in uw onderneming elektronisch, ga dan na of het systeem passend beveiligd wordt.

2.5. Let op met de verspreiding van de kiezerslijsten

De Gegevensbeschermingsautoriteit benadrukt in haar advies nr. 156/2018 dat de werkgever de kiezerslijsten (dag X) niet per e-mail mag verspreiden. Ook een openlijke publicatie op de interne website van het bedrijf (met makkelijke download) is niet aan te raden. De terbeschikkingstelling van de kiezerslijsten via elektronische weg vindt best plaats op een afgesloten platform of op een beveiligd intranet dat enkel toegankelijk is voor de werknemers van de onderneming. Dit belet niet dat de werkgever een e-mail kan sturen aan de werknemers met een link naar een dergelijk platform of intranet, op voorwaarde dat enkel de werknemers van de onderneming hier toegang toe hebben.

2.6. Sluit indien nodig een verwerkersovereenkomst

Volgens de GDPR zijn zowel de verantwoordelijke voor de verwerking als de verwerker verplicht een overeenkomst te sluiten die de verwerking van persoonsgegevens regelt. De verordening stelt uitdrukkelijke eisen aan de inhoud van deze overeenkomst. Wanneer u als werkgever een beroep wil doen op een dienstverlener bij de organisatie van sociale verkiezingen, moet dit dus geregeld worden in een verwerkingsovereenkomst. Uiteraard enkel indien er persoonsgegevens bij de verwerker terecht komen.