privacy en personeelsgegevens

Organisaties hebben op grond van de Algemene verordening gegevensbescherming (AVG) – ook wel bekend als GDPR (General Data Protection Regulation) – de verantwoordelijkheid om de privacy van personen te beschermen. Dat geldt niet alleen voor de persoonsgegevens van klanten en andere externe relaties, maar ook voor medewerkers en de persoonsgegevens die werkgever in hun dossier vastlegt en bewaart.

op deze pagina

    voorwaarden verwerking persoonsgegevens voor personeelsdossier

    De werkgever mag persoonsgegevens voor een personeelsdossier verwerken in het kader van een arbeidsovereenkomst met zijn werknemer. Daaraan zijn wel bepaalde voorwaarden verbonden. Zo moet de werkgever:

    • ervoor zorgen dat de gegevens in de personeelsadministratie juist en nauwkeurig zijn
    • niet meer gegevens in het personeelsdossier vastleggen dan nodig en de gegevens moeten ter zake dienend en niet bovenmatig zijn, gelet op het doel waarvoor ze verwerkt worden
    • zijn werknemers informeren over de doeleinden waarvoor hij hun gegevens verzamelt
    • passende maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking
    • niet langer bewaren dan noodzakelijk is
    • zijn werknemers de mogelijkheid bieden hun gegevens in te zien en eventueel te corrigeren.

    bewaartermijn personeelsgegevens

    In de AVG is niets vastgelegd over de bewaartermijnen voor de personeelsadministratie. Het uitgangspunt is dat de werkgever persoonsgegevens niet langer bewaart dan nodig is voor het doel waarvoor zij verzameld en verwerkt zijn. Als redelijke bewaartermijn wordt meestal maximaal twee jaar aangehouden. Let wel: nadat de werknemer uit dienst is getreden. Ook kunnen er andere wettelijke regels voor de bewaartermijn gelden.

    In de AVG staat wel dat de werkgever (of de verwerkingsverantwoordelijke):

    • voorafgaand aan de verwerking moet bepalen hoe lang hij de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt hij in elk geval de criteria voor het vaststellen van de bewaartermijn (denk bijvoorbeeld aan het moment vanaf wanneer de bewaartermijn gaat lopen). De bewaartermijn of de criteria legt hij vast in een beleid
    • de bewaartermijnen opneemt in het register van verwerkingen
    • zijn werknemers informeert over de bewaartermijnen. Bijvoorbeeld via een privacybeleid of privacyverklaring.

    In het bewaarbeleid kan men de verschillende bewaartermijnen noemen en voor welke verwerking dat geldt.

    Geef in het bewaarbeleid aan wat van de werknemers wordt verwacht. Zijn er bijvoorbeeld bepaalde bewaartermijnen niet in de systemen geïmplementeerd en geautomatiseerd? Hebben werknemers dan ook zelf nog een verantwoordelijkheid? En zo ja, welke verantwoordelijkheid is dat dan?