Rol van EOR bij bescherming persoonsgegevens
30 maart 2016
Europese ondernemingsraden (EOR) van verschillende internationale concerns trokken aan de bel toen ze merkten dat personeelsgegevens de wereld overgingen. De gegevens bleven weliswaar binnen de organisatie, maar dat de data de EU-grens overgingen, was aanleiding om de grenzen van de Europese privacywetgeving eens goed te onderzoeken.
Verschillende leden van Europese ondernemingsraden belegden een bijeenkomst waarin ze samen met deskundigen op het gebied privacywetgeving onderzochten wat de wettelijke bepalingen zijn voor privacy op werk en waar de grenzen liggen.
Persoonsgegevens niet zomaar uitwisselen buiten de EU
De EOR-leden en deskundigen hebben hun belangrijkste bevindingen opgenomen in het verslag van de bijeenkomst (pdf). De belangrijkste uitkomsten van de bijeenkomst waren:
- Alle landen in de EU kennen een vergelijkbaar beschermingsniveau als het gaat om persoonsgegevens en daardoor kunnen persoonsgegevens binnen de EU worden uitgewisseld.
- Buiten de EU-/EER-landen mogen de gegevens niet worden verwerkt, tenzij de data wordt versleuteld. Ook het contractueel vastleggen aan wie de persoonsgegevens precies mogen worden verstrekt, is een mogelijke oplossing, maar in verband met corruptie in verschillende landen biedt dit geen garanties.
- De Autoriteit Persoonsgegevens (AP) heeft sinds 1 januari 2016 uitgebreide bevoegdheden en kan bij vermoedens van misstanden onderzoek doen en eventueel (hoge) boetes opleggen.
- Als ondernemingsraden of EOR’s vermoeden dat persoonsgegevens van werknemers onterecht worden verspreid, kunnen zij hiervan melding maken bij de AP.
- Als alle werknemers tekenen voor vrijwillige overdracht van hun gegevens naar landen buiten de EU/EER, dan is dat nog steeds in strijd met de wet.
- Exporteren van gegevens naar landen buiten de EU/EER mag alleen als daar hetzelfde beschermingsniveau geldt.