Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: OR en de AVG

dinsdag 19 december 2023

Veel organisaties hebben een ondernemingsraad (OR). Het kan zijn dat u zelf lid bent van een OR. Het is wettelijk onvermijdelijk dat er onderwerpen op de tafel van de OR terecht komen waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. De Autoriteit Persoonsgegevens (AP) heeft een handboek geschreven voor ondernemingsraden.[1] Hierin is veel informatie te vinden over instemming en adviesrecht. In deze blog gaan we in op de belangrijkste taken van de OR op het gebied van gegevensbescherming.

Rechten OR

Instemmingrecht is één van de rechten van een OR. De ondernemer moet de OR om instemming vragen bij besluiten over het vaststellen, wijzigen of intrekken van personele regelingen volgens artikel 27 van de Wet op de ondernemingsraden (WOR).[2] Als de OR niet instemt met het beleid, mag de ondernemer het beleid niet uitvoeren. Als de ondernemer dit toch doet, kan de OR zich beroepen op de zogenoemde ‘nietigheid van het besluit’. De OR kan ook naar de kantonrechter gaan. De ondernemer kan op zijn beurt de kantonrechter vragen om zijn besluit toch te mogen uitvoeren.

De OR heeft meer bevoegdheden. Voor belangrijke financiële, economische en organisatorische besluiten moet de ondernemer advies vragen aan de OR.[3] De OR geeft advies aan de ondernemer over zijn voorgenomen besluit. De OR heeft ook initiatiefrecht en recht op informatie, maar in relatie tot de AVG zijn instemmings- en adviesrecht de belangrijkste rechten.

Functionaris voor Gegevensbescherming (FG)

Veel organisaties benoemen een interne of externe FG. De WOR bevat een uitputtende lijst van de zaken waar een OR instemming op heeft.[4] Het benoemen van een FG staat niet in deze opsomming. Een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen vereist de instemming van de OR.[5] Hiermee heeft de OR (beperkt) invloed op de inhoud van de wijze waarop de FG zijn of haar rol vervult.

Privacybeleid

Conform de AVG moet een werkgever privacybeleid opstellen. Het privacybeleid is een intern document dat beschrijft hoe de organisatie omgaat met persoonsgegevens en de bescherming daarvan. De OR heeft alleen instemmingsrecht op dat deel wat invloed heeft op de persoonsgegevens van medewerkers.

Privacyverklaring
Het is verplicht om een privacyverklaring op te stellen. Hierin legt de ondernemer aan de klanten uit hoe hij omgaat met hun persoonsgegevens. Daarnaast stelt de ondernemer vaak een specifieke privacyverklaring voor medewerkers op. Deze verklaring gaat over de verwerking van persoonsgegevens van personeel, hierdoor heeft de OR instemmingsrecht.

DPIA

Een Data Protection Impact Assessment (DPIA) of in het Nederlands een gegevensbeschermingseffectbeoordeling is een manier om vóór de verwerking van persoonsgegevens de privacy risico’s in kaart te brengen. Een DPIA is wettelijk verplicht als de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daar is sprake van bij bijvoorbeeld cameratoezicht of profilering. Naar aanleiding van de DPIA kan het noodzakelijk zijn om maatregelen te nemen om het risico voor betrokkenen te verkleinen. De OR of een delegatie van de OR mag deelnemen aan de sessies die gehouden worden om de DPIA in te vullen, als zij een betrokken partij zijn. Dit is aan de orde als de voorgenomen regeling de verwerking van persoonsgegevens van werknemers betreft en over personeelsvolgsystemen die de aanwezigheid, het gedrag of de prestaties van werknemers kan waarnemen of controleren. De OR heeft dan instemmingsrecht. De deelname van de OR aan het invullen van de DPIA is niet verplicht en mag ook geweigerd worden.
Deelname van de OR kan een voordeel opleveren bij het instemmingsverzoek voor het betreffende onderwerp. De OR is reeds betrokken en kent de feiten, waardoor instemming snel verleend kan worden.

Datalekken

Een datalek is een incident waarbij iemand toegang tot persoonsgegevens heeft, zonder dat dit mag of de bedoeling is. Of de persoonsgegevens worden ongewenst vernietigd, verloren, gewijzigd of verstrekt. Voorbeelden hiervan zijn de bekende phishing mails of een cyberaanval. De Privacy Officer registreert datalekken in een register. Hieruit kan de organisatie een mogelijk patroon ontdekken en maatregelen nemen om het aantal datalekken te verminderen. De OR heeft geen directe betrokkenheid bij een datalek. Een datalek kan echter grote gevolgen hebben voor (een gedeelte van) de bedrijfsprocessen. Daardoor heeft een datalek mogelijk gevolgen voor de medewerkers en raakt de OR alsnog betrokken.

Esma Fierloos
Adviseur L2P

[1] ap_or_privacy-boekje.pdf (autoriteitpersoonsgegevens.nl)
[2] Artikel 27 Wet op de ondernemingsraden
[3] Artikel 25 Wet op de ondernemingsraden
[4] Artikel 27 Wet op de ondernemingsraden
[5] Artikel 27 lid 1 sub k Wet op de ondernemingsraden

Voor meer informatie of interesse voor een trainingsdag voor de ondernemingsraad?
Bel of mail ons gerust.