Het personeelsdossier en de Algemene Verordening Gegevensbescherming (AVG)
Wat mag wel en niet in het personeelsdossier?

Inhoud:
- Rechten van werknemers respecteren
- 1. Het recht op informatie
- 2. Het recht op kopie
- 3. Het recht op vergetelheid
- 4. Het recht op beperking van verwerking
- Werkgevers krijgen meer verplichtingen
- 1.Informatieplicht
- 2. Documentatieplicht
- 3. Privacy Impact Assessment
- 4. Aanstellen van een functionaris
- 5. Meldplicht datalekken
- Bewaartermijn van het personeelsdossier
- Gegevens van een sollicitant
- Gegevens van een werknemer na uitdiensttreding
- De fiscale bewaarplicht
Ook met het personeelsdossier heb je te maken met de Algemene Verordening Gegevensbescherming (AVG). Binnen de gehele EU gelden hiervoor dezelfde privacywetgeving.
De Wet Bescherming Persoonsgegevens (WBP) is sinds 2018 vervallen, maar een aantal rechten en plichten uit die wet, zoals het recht op inzage, correctie en verwijdering in het personeelsdossier, zijn ook terug te vinden in de AVG. De rechten en plichten binnen de AVG vragen de aandacht van werkgevers omdat ze dwingend zijn voorgeschreven.
Rechten van werknemers respecteren
Werknemers hebben recht op inzage, correctie en verwijdering in het personeelsdossier. Nieuw in vergelijking met de WBP zijn de volgende rechten voor werknemers.
1. Het recht op informatie
Werknemers hebben het recht op informatie omtrent de bewaartermijn, eventueel geautomatiseerde besluitvorming op basis van personeelsgegevens, eventueel transport van de gegevens naar het buitenland en welke maatregelen getroffen zijn om gebruik te kunnen maken van het recht op correctie en het klachtenrecht bij de privacy toezichthouder.
2. Het recht op kopie
Werknemers hebben het recht om een kopie van hun volledige personeelsdossier te verzoeken bij hun werkgever, die daaraan moet voldoen tenzij de rechten en vrijheden van anderen in het geding komen.
3. Het recht op vergetelheid
De gegevens van de werknemer moeten worden gewist als:
De gegevens niet langer meer nodig zijn voor het realiseren van het doel.
De toestemming tot voor het doel van verwerking door de werknemer wordt ingetrokken.
De werknemer gegronde bezwaren maakt tegen verwerking.
Er geen rechtsgrond voor verwerking is.
4. Het recht op beperking van verwerking
Werknemers kunnen het verwerken van bepaalde persoonsgegevens beperken, als bijvoorbeeld de juistheid wordt betwist of de verwerking onrechtmatig is.
Werkgevers krijgen meer verplichtingen
Meer rechten voor de werknemer, leiden tot meer verplichtingen voor de werkgever.
1.Informatieplicht
De werkgever is verplicht informatie te verschaffen aan zijn werknemers over:
Het doel van de gegevensverwerking en bewaartermijn.
Wie binnen het bedrijf verantwoordelijk is voor de gegevensbescherming.
Wie de gegevens zullen verwerken.
Of gegevens naar het buitenland getransporteerd worden en welke maatregelen er eventueel getroffen zijn.
Het klachtenrecht van de werknemer en hoe hij deze kan uitoefenen.
Het recht van de werknemer om instemming tot verwerking van gegevens in te trekken.
2. Documentatieplicht
Dit is onder meer alleen van toepassing bij bedrijven met meer dan 250 werknemers of op grote schaal gegevens van natuurlijke personen verwerken.
3. Privacy Impact Assessment
De werkgever is verplicht een zogenaamde ‘gegevensbeschermingseffectbeoordeling’ te maken als er voor de gegevensverwerking gebruik gemaakt gaat worden van een nieuwe technologie of ingrijpende ander soortige manier van technologische vastleggen en verwerking.
4. Aanstellen van een functionaris
Een aparte AVG functionaris moet worden aangesteld als de hoofdactiviteit van de onderneming het verwerken van persoonsgegevens is.
5. Meldplicht datalekken
Werkgevers hebben de plicht om een datalek die gevolgen kan hebben voor de bescherming van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens.
Bewaartermijn van het personeelsdossier
Het uitgangspunt is dat de persoonsgegevens niet langer dan noodzakelijk voor het doel van de verwerking mogen worden bewaard. Dit kan dus verschillend zijn per geval.
Gegevens van een sollicitant
De gegevens van een afgewezen sollicitant mogen niet langer dan vier weken worden bewaard. Je kan echter een sollicitant vragen of je de gegevens langer ‘in file’ mag houden, mocht er later binnen het bedrijf nog een vacature ontstaan. Redelijk is dan een termijn van maximaal een jaar aan te houden.
Gegevens van een werknemer na uitdiensttreding
Er is geen wettelijke bewaartermijn voor gegevens uit het personeelsdossier van iemand die uit dienst is getreden. Gebruikelijk en als richtlijn te gebruiken is een bewaartermijn van twee jaar na uitdiensttreding.
Let wel op dat de Belastingdienst voor een aantal gegevens uit het personeelsdossier wel een fiscale bewaarplicht aanhoudt!
De fiscale bewaarplicht
De Belastingdienst houdt voor een aantal zaken die fiscaal van belang zijn een bewaartermijn aan van 7 jaar. Voor zaken met betrekking tot de loonbelasting wordt een termijn van 5 jaar aangehouden.
Tips
Zorg dat je de bewaartermijn van gegevens en de criteria daarvoor goed vastlegt en documenteert.
Als gegevens bij wijze van uitzondering langer bewaard worden, zorg dan dat dit inzichtelijk is waarom dit gebeurt. Wees transparant.
Informeer je werknemers over de bewaartermijnen. Dit kan je doen in een informatiebrief, memorandum of middels het personeelsreglement dat je aanpast