Contact

    Zoeken

    Personeelsgegevens die u als werkgever verkregen heeft, mag u niet zomaar doorgeven aan personen of instanties buiten uw organisatie. Denk daarbij bijvoorbeeld aan de Belastingdienst, het UWV, het pensioenfonds of uw advocaat.

    Verstrekken van personeelsgegevens aan derden

    Als werkgever verwerkt u persoonsgegevens en daarop is de AVG van toepassing. U bent dan verwerkingsverantwoordelijke en dat betekent dat onder andere aan de volgende vereisten moet worden voldaan. Zo moet u een grondslag genoemd in de AVG hebben om persoonsgegevens te mogen verwerken. Wij bespraken dit eerder kort in deel II. Met betrekking tot personeelsgegevens zijn vooral de volgende mogelijke grondslagen relevant: Toestemming van de werknemer vormt een erg onzekere verwerkingsgrond. De toestemming moet namelijk vrij gegeven zijn. Gezien de afhankelijkheidsrelatie tussen werkgever en werknemer zal hier in bijna geen enkel geval sprake van zijn. In de meeste gevallen moet u dus een van de andere drie grondslagen hebben. Verder moet u op grond van de AVG bepalen en vastleggen voor welk doel u persoonsgegevens verzamelt. U mag de gegevens vervolgens alleen voor dat doel verwerken of een doel dat daarmee verenigbaar is. Indien u de persoonsgegevens vervolgens aan een derde verstrekt, moet u vaststellen of deze derde een verwerker of verwerkingsverantwoordelijke is. Een verwerker handelt op basis van instructies van u als verwerkingsverantwoordelijke en bepaalt geen eigen doel en grondslag. Met een verwerker dient een verwerkersovereenkomst gesloten te worden. Een verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen van de verwerking en dient dus een eigen grondslag te hebben, zoals bijvoorbeeld uw advocaat.

    Doorgifte naar het buitenland

    Hoe zit het met het doorgeven van personeelsgegevens aan een partij in het buitenland? Voor zover voldaan wordt aan de vereisten van de AVG voor doorgifte van persoonsgegevens zoals hierboven genoemd, is dit binnen de EU of EER toegestaan. Indien het een derde partij van buiten de EU of de EER betreft (een “derde land”) is doorgifte echter niet zomaar toegestaan. Er gelden dan aanvullende eisen. In de volgende gevallen is doorgifte onder andere toegestaan:

    Ook binnen een concern?

    Gelden deze regels ook indien de persoonsgegevens worden doorgegeven aan een andere vestiging van hetzelfde concern in het buitenland? In concernverband gelden dezelfde bovengenoemde regels voor doorgifte naar het buitenland. In aanvulling daarop bestaat er binnen concerns de mogelijkheid bindende bedrijfsvoorschriften (ook wel Binding Corporate Rules) vast te stellen. Dit zijn regels waar alle ondernemingen binnen het concern aan gebonden zijn. Deze voorschriften dienen te voldoen aan de eisen die de AVG hieraan stelt, zoals goedkeuring van de voorschriften door de bevoegde toezichthouder binnen de EU.

    Conclusie

    Het is belangrijk alert te zijn op de vraag aan wie zowel binnen als buiten uw organisatie personeelsgegevens worden doorgegeven en of dit op grond van de AVG wel mag. Indien in strijd met de AVG gehandeld wordt, kunnen fikse boetes opgelegd worden tot maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet.   Deel VIII: monitoren van werknemers, volgt over twee weken.  
    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.