De Autoriteit Persoonsgegevens (AP) heeft recentelijk het OR-privacyboekje gepubliceerd over de rol van de ondernemingsraad bij privacy op de werkvloer.
Personeelsdossiers, registratie van ziekteverzuim, camera’s op de werkplek, screening van personeel, trackers in leaseauto’s: werkgevers verwerken veel persoonsgegevens van hun werknemers. Sommige van die verwerkingen kunnen heel ingrijpend zijn. Het is daarom uiterst belangrijk dat werkgevers rekening houden met de privacy van hun werknemers en dat hierover wordt gesproken binnen de organisatie. Daarbij spelen ondernemingsraden een cruciale rol. De ondernemingsraad (OR) is nauw betrokken bij afspraken over de verwerking van persoonsgegevens van personeel en bij personeelsvolgsystemen.
Onder de Algemene Verordening Gegevensbescherming (AVG) kan een werkgever verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren voordat hij kan beginnen met het verwerken van gegevens. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat er maatregelen kunnen worden genomen om deze risico’s te verkleinen. Een DPIA is verplicht wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.
In het OR-privacyboekje staat het volgende voorbeeld:
Werkgever X licht in het gps-trackervoorstel toe dat hij een DPIA heeft uitgevoerd en dat hij passende maatregelen zal nemen om alle risico’s te beperken die in kaart zijn gebracht. De OR wil graag meer weten over deze risico’s en vraagt daarom of werkgever X de DPIA met de OR wil delen.
Is het niet verplicht om een DPIA uit voeren? Dan raadt de AP aan om een privacy-risicobeoordeling uit te voeren, als een vorm van goede bedrijfsvoering. Daar kan de OR dus ook om vragen.
