Doorgeven van personeelsgegevens
Soms is het nodig dat u als werkgever personeelsgegevens doorgeeft (verstrekt) aan andere organisaties of personen binnen of buiten uw eigen organisatie. Uw werknemers hebben hun gegevens echter in vertrouwen gegeven. Daarom mag u hun personeelsgegevens niet zomaar doorgeven. Op deze pagina leest u wat de regels hiervoor zijn.
Op deze pagina
Voorwaarden doorgeven personeelsgegevens
Wilt u als werkgever personeelsgegevens doorgeven, dan moet u zich houden aan de volgende voorwaarden uit de Algemene verordening gegevensbescherming (AVG):
- U mag alleen personeelsgegevens doorgeven op een manier die tegenover uw werknemers rechtmatig, behoorlijk en transparant is. Let op: 'transparant' betekent concreet dat u uw werknemers informeert over het doorgeven van hun gegevens.
- De personeelsgegevens die u wilt doorgeven, moet u hebben verzameld voor een specifiek en gerechtvaardigd doel, dat u precies heeft omschreven.
- Het doorgeven van personeelsgegevens moet een rechtmatige grondslag hebben.
- Het doorgeven van personeelsgegevens moet verenigbaar zijn met het doel waarvoor u de personeelsgegevens heeft verzameld. Vragen bedrijven u bijvoorbeeld om personeelsgegevens, zodat zij uw werknemers reclame kunnen sturen? Dan mag u daar niet op ingaan.
Grondslag doorgeven personeelsgegevens
Als werkgever heeft u een grondslag nodig uit de AVG om personeelsgegevens te morgen doorgeven. In de AVG staan 6 mogelijke grondslagen. Bij het doorgeven van personeelsgegevens liggen deze 3 grondslagen het meest voor de hand:
- het is noodzakelijk om een overeenkomst uit te voeren;
- er is een wettelijke verplichting om gegevens te verstrekken;
- de werknemer heeft toestemming gegeven.
Uitvoeren van een overeenkomst
U mag gegevens van een werknemer doorgeven als dit noodzakelijk is om een overeenkomst uit te voeren tussen die werknemer en u, zoals het arbeidscontract. Krijgt de werknemer bijvoorbeeld een leaseauto? Dan geeft u de gegevens van deze werknemer door aan de leasemaatschappij.
Wettelijke verplichting
U kunt wettelijk verplicht zijn om bepaalde personeelsgegevens door te geven. U bent bijvoorbeeld verplicht:
- aan de Belastingdienst alle gegevens door te geven die van belang zijn voor de belastingheffing;
- een langdurig zieke werknemer aan te melden bij het UWV;
- in strafzaken bepaalde gegevens van een verdachte werknemer door te geven.
Grondslag wettelijke verplichting
Toestemming
Bent u van plan om personeelsgegevens door te geven, maar is dit niet noodzakelijk? Dan kunt u uw medewerkers om toestemming vragen. U moet daarbij duidelijk aan uw medewerkers uitleggen waarvoor de toestemming is. En wat de gevolgen zijn als zij toestemming geven.
Geeft een medewerker geen toestemming? Dan mag dit geen negatieve gevolgen voor die persoon hebben. Medewerkers mogen hun toestemming op elk moment intrekken. U mag hun personeelsgegevens vanaf dat moment niet meer doorgeven.
Let op: Toestemming wordt niet gauw als een geldige reden gezien voor het doorgeven van personeelsgegevens. Dat komt omdat uw werknemers afhankelijk van u zijn. Daardoor kunnen zij zich onder druk gezet voelen om toestemming te geven.
Voorbeeld 1: naam, foto en locatie
U wilt als werkgever als extra service gegevens van uw werknemers aan uw klanten doorgeven. Zoals hun naam, foto en actuele locatie. Bijvoorbeeld als uw werknemers pakketbezorger, maaltijdbezorger of taxichauffeur zijn.
Dit mag niet. U mag namelijk alleen personeelsgegevens aan uw klanten doorgeven als dit noodzakelijk is voor de dienstverlening. Dat is in dit geval niet zo. Het mag ook niet als uw werknemers hiervoor toestemming zouden geven. Omdat uw werknemers afhankelijk zijn van u, zijn zij niet vrij om te weigeren. En dan geldt hun toestemming niet.
Voorbeeld 2: smoelenboek
U wilt als werkgever een smoelenboek op intranet plaatsen met foto’s van uw werknemers. Omdat dit niet noodzakelijk is, moet u hiervoor toestemming vragen aan uw werknemers. In dit geval is toestemming van uw werknemers wél geldig. Uw werknemers zullen namelijk niet gauw druk ervaren om mee te doen aan een intern smoelenboek.
U moet wel duidelijk maken aan uw werknemers dat deelname vrijwillig is. Het mag geen negatieve gevolgen voor een werknemer hebben als diegene weigert. Ook moet u voldoende informatie geven aan uw werknemers over wat er precies gebeurt met hun foto.
De toestemming geldt alleen voor het smoelenboek. U mag de foto’s van werknemers die toestemming hebben gegeven dus bijvoorbeeld niet ook op uw externe website plaatsen.
Uw werknemers kunnen hun toestemming op elk moment intrekken. U moet de foto van de betreffende medewerker vanaf dat moment uit het smoelenboek verwijderen.
Rol OR bij doorgeven personeelsgegevens
Bent u van plan personeelsgegevens door te geven? Dan moet u dit eerst voorleggen aan de ondernemingsraad (OR). De OR heeft wettelijk instemmingsrecht bij voorgenomen verstrekkingen van personeelsgegevens. Dat houdt in dat u een regeling voor het doorgeven van personeelsgegevens niet mag vaststellen, veranderen of intrekken zonder instemming van de OR.
Doorgeven personeelsgegevens binnen multinational
Bedrijven kunnen personeelsgegevens binnen de hele organisatie delen. Bijvoorbeeld als er een centrale database is met personeelsgegevens. Of intranet met daarop persoonsgegevens van alle werknemers.
Bij een multinational kunnen hierdoor personeelsgegevens terechtkomen in een land buiten de EER. Dat mag in principe alleen als dat land een passend beschermingsniveau heeft. Dat betekent dat persoonsgegevens daar minstens zo goed worden beschermd als binnen de EER.
Heeft het land buiten de EER geen passend beschermingsniveau? Dan is doorgifte alleen toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG.
Voor meer informatie, zie: Doorgifte binnen en buiten de EER.
Doorgeven informatie over ongewenst gedrag
Is er een klacht tegen een van uw werknemers ingediend over ongewenst gedrag, zoals seksueel grensoverschrijdend gedrag? Dan verzamelt een klachtencommissie of vertrouwenspersoon gevoelige informatie over uw werknemer. Hiermee moet deze commissie of persoon zorgvuldig omgaan.
Tijdens de klachtenprocedure is nog niets bewezen. Dat betekent dat de klachtencommissie of vertrouwenspersoon zeer terughoudend moet zijn met het doorgeven van informatie.
Of de direct-leidinggevende van de betreffende werknemer informatie moet krijgen over een lopende klachtenprocedure, verschilt per geval. Dit hangt onder meer af van de aard en de ernst van het ongewenste gedrag. En of het gedrag (ook) plaatsvindt op de afdeling van de leidinggevende.
Als de klacht gegrond is verklaard, brengt de klachtencommissie of vertrouwenspersoon de leidinggevende van de uitspraak op de hoogte.
Een redelijke bewaartermijn voor de informatie van de klachtencommissie of vertrouwenspersoon is maximaal 2 jaar nadat de klacht is afgehandeld. Het is niet nodig deze informatie oneindig te bewaren. Het is belangrijk dat u als werkgever hiervoor een duidelijke bewaartermijn afspreekt.
Het oordeel van de klachtencommissie of vertrouwenspersoon kunt u in het personeelsdossier van de betreffende werknemer bewaren.