Privacyaspecten bij personeelsdossiers

Werkgevers leggen vrijwel altijd personeelsdossiers van hun werknemers aan. In dergelijke dossiers kunnen verschillende documenten worden opgenomen, zoals kopieën van contracten, een kopie van het identiteitsbewijs, verslagen van functioneringsgesprekken en waarschuwingen. Al deze documenten en gegevens kwalificeren als persoonsgegevens. Dit betekent dat de Wet bescherming persoonsgegevens (‘Wbp’) en straks de Algemene verordening gegevensbescherming (‘AVG’) van toepassing is.

In deze blog wordt ingegaan op de privacyaspecten van het personeelsdossier. Ook wordt een aantal praktische handvatten gegeven.

Welke documenten?
Uitgangspunt is dat werkgevers alleen persoonsgegevens in het personeelsdossier mogen opnemen die noodzakelijk zijn voor het doel van het personeelsdossier, namelijk het bewaren van gegevens die werkgevers nodig hebben om de arbeidsovereenkomsten met hun werknemers te kunnen uitvoeren (principe van dataminimalisatie).

Voorbeelden van gegevens en documenten die in het personeelsdossier kunnen worden bewaard, zijn:

• een kopie van de arbeidsovereenkomst;
• verslagen van beoordelings- en functioneringsgesprekken;
• verzuimfrequentie;
• eventuele waarschuwingen; en
• (voor zover wettelijk toegestaan) het BSN-nummer en een kopie van het identiteitsbewijs.

Hoe zit het met beveiliging?
Ter voorkoming van datalekken, dienen werkgevers persoonsgegevens te beveiligen. De Wbp, alsook de AVG, geeft aan dat werkgevers hiervoor passende technische en organisatorische maatregelen moeten nemen. Wij noemen enkele aandachtspunten:

• Is de toegang tot de personeelsdossiers beperkt tot de medewerkers voor wie dat noodzakelijk is om hun functie uit te kunnen oefenen?
• Hebben de medewerkers die toegang hebben tot de personeelsdossiers een geheimhoudingsverklaring getekend?
• Is gewaarborgd dat personeelsdossiers op de juiste afdeling en in de juiste systemen worden bewaard en opgeslagen?

Welke bewaartermijnen?
Uitgangspunt op basis van de AVG is dat gegevens niet langer mogen worden bewaard dan het doel waarvoor deze zijn verzameld of worden gebruikt.

Voor sommige gegevens uit het personeelsdossier gelden wettelijke bewaarplichten. Een voorbeeld daarvan is de fiscale bewaarplicht. Dit betekent dat de Belastingdienst werkgevers verplicht om fiscaal relevante gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moeten 5 jaar worden bewaard nadat de werknemer uit dienst is.

Voor andere gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Denk bijvoorbeeld aan verslagen van functioneringsgesprekken. Voor dat soort gegevens geldt als richtlijn een bewaartermijn van 2 jaar nadat de werknemer uit dienst is.

Werkgevers mogen gegevens van hun (ex-)werknemers langer bewaren als bijvoorbeeld sprake is van een arbeidsconflict of als een rechtszaak loopt.

Welke rechten hebben werknemers?
Iedere werknemer heeft het recht om zijn personeelsdossier in te zien. Indien een werknemer hier om verzoekt, moeten werkgevers dit verzoek toestaan. Daarnaast kunnen werknemers om een kopie van het personeelsdossier verzoeken. Aan dit verzoek moeten werkgevers eveneens (kosteloos) voldoen.

Slechts bij hoge uitzondering kan een verzoek om inzage of kopie worden geweigerd, bijvoorbeeld als de staatsveiligheid in het geding is. Daarvan zal niet snel sprake zijn.

Er hoeft geen inzage te worden gegeven in interne notities/correspondentie die de persoonlijke gedachten van bepaalde medewerkers van de werkgever (denk bijvoorbeeld aan de HR-manager) bevatten en uitsluitend bedoeld zijn voor intern overleg en beraad. Dit volgt uit rechtspraak en geldt ook voor verstrekking van kopieën.

Werknemers kunnen tot slot ook een verzoek doen om gegevens in het personeelsdossier te laten corrigeren of verwijderen.

Moeten werknemers worden geïnformeerd? En zo ja, hoe?
Met de komst van de AVG gaat een uitgebreide informatieplicht voor werkgevers richting hun werknemers gelden. De informatieplicht ontstaat zodra werkgevers persoonsgegevens van hun medewerkers verwerken. Deze plicht geldt dus ook bij het aanleggen en bijhouden van het personeelsdossier.

Gelet op de informatieplicht moeten werkgevers onder meer informatie verstrekken over:

• het doel of de doelen waarvoor zij persoonsgegevens verwerken;
• hoe lang de gegevens worden bewaard; en
• de rechten die de werknemer heeft met betrekking tot de verwerking van zijn persoonsgegevens (denk onder andere aan het recht op inzage).

De AVG schrijft niet voor op welke wijze werkgevers hun werknemers moeten informeren. De informatieplicht is vormvrij. Aangeraden wordt om aan het personeelshandboek of bedrijfsreglement bijvoorbeeld een hoofdstuk over privacy toe te voegen, waarin bovengenoemde informatie wordt verstrekt. Organisaties die niet over zulke documentatie beschikken kunnen ook volstaan met een privacy statement dat specifiek ziet op de interne situatie.

Tot slot
Wij adviseren werkgevers om bovengenoemde aspecten rondom de inrichting van en de omgang met personeelsdossiers mee te nemen in hun privacybeleid. Na 25 mei 2018 zijn werkgevers hiertoe ook verplicht en kan de Autoriteit Persoonsgegevens handhavend optreden als werkgevers op dit punt in gebreke zijn.

Indien binnen de organisatie aanwezig, is het voorts van belang de Ondernemingsraad bij het privacybeleid te betrekken (denk hierbij aan het instemmingsrecht).

Heeft u over deze blog nog vragen? Neem vrijblijvend contact op met Karen Knook (k.knook@banning.nl / +31 73 800 09 36) of een van de andere leden van het Privacy-team (privacy@banning.nl). U kunt bij ons uiteraard ook terecht voor andere praktische vragen over privacy op de werkvloer.