Privacy en sociale verkiezingen 2020: de richtlijnen van de GBA
Publicaties
6 november 2020
Sociale verkiezingen 2020: meer dan ooit elektronisch
Dankzij de sociale verkiezingen krijgen werknemers de kans om te bepalen wie hen mag vertegenwoordigen in de overlegorganen binnen de onderneming: de Ondernemingsraad en het Comité voor Preventie en Bescherming op het werk. Oorspronkelijk zouden de sociale verkiezingen in mei 2020 plaatsvinden, maar door de coronacrisis zal dit nu gebeuren tussen 16 en 29 november 2020. De coronacrisis zorgt er daarnaast ook voor dat dit jaar extra ingezet wordt op alternatieve manieren om te stemmen, zoals bijv. het elektronisch stemmen. Dit laatste is in principe al 20 jaar mogelijk, maar zal nu ongetwijfeld veel meer benut worden.
De GBA grijpt deze nakende verkiezingen meteen aan als een kans om duidelijke richtlijnen mee te geven rond de privacy van de werknemers.
Wij vatten de richtlijnen van de GBA hieronder voor u samen. De volledige versie is hier beschikbaar op de website van de GBA.
GDPR bij sociale verkiezingen: basisregels
De organisatie van sociale verkiezingen houdt een verwerking in van persoonsgegevens door de onderneming. Dat wil zeggen dat deze gegevens worden verzameld, opgeslagen, geraadpleegd, enz. En dat betekent dat de regels van de GDPR van toepassing zijn.
Concreet moeten ondernemingen de volgende basisregels naleven:
Rechtmatige verwerking
De gegevens moeten rechtmatig, eerlijk en transparant ten aanzien van de stemmers worden verwerkt. De onderneming moet de werknemers dus in duidelijke taal informeren over het feit dat zij hun gegevens zal verwerken en voor welke doeleinden dat gebeurt. Daarnaast moeten werknemers ook duidelijk vernemen welke rechten ze hebben onder de GDPR en hoe ze deze kunnen uitoefenen. De verwerking moet ook opgenomen worden in het verwerkingsregister van de onderneming.
Finaliteitsbeginsel
De onderneming mag de gegevens enkel voor welbepaalde doeleinden verzamelen en verwerken, die zij bovendien uitdrukkelijk moet omschrijven. Ze mag geen gegevens verwerken op een manier die niet strookt met deze doeleinden.
Integriteit en vertrouwelijkheid
De onderneming moet passende, technische en organisatorische maatregelen treffen om een afdoend veiligheidsniveau van de gegevensverwerking te garanderen.
Beperkte opslagperiode
De onderneming mag de gegevens niet langer bewaren dan noodzakelijk is voor de verwezenlijking van de doeleinden die ze op voorhand heeft gespecifieerd.
Minimale gegevensverwerking
Enkel de gegevens die strikt noodzakelijk zijn voor de organisatie van de sociale verkiezingen mogen worden verwerkt.
Juistheidsbeginsel
De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Er moeten redelijke maatregelen worden genomen om onnauwkeurige gegevens te wissen of te verbeteren.
Specifieke privacy vraagstukken sociale verkiezingen
De wisselwerking tussen de wetgeving rond sociale verkiezingen, de GDPR en andere privacyregelgeving doet enkele specifieke vragen rijzen. De GBA biedt daarop de volgende antwoorden:
Wat is de rechtsgrond voor en het doeleinde van de verwerking?
De verwerking van de gegevens is toegelaten wegens de wettelijke plicht om sociale verkiezingen te organiseren. Dat is dus de rechtsgrond van de verwerking.
Het doeleinde van de verwerking bestaat uit het organiseren van de sociale verkiezingen op transparante wijze en volgens de wettelijke vereisten.
Mogen gegevens doorgegeven worden aan vakbonden?
Neen, niet zomaar. In de context van de sociale verkiezingen mogen ondernemingen niet zomaar gegevens van hun personeel doorgeven aan vakbonden. Zo kan de vakbond dus geen personeelslijst opvragen met als doel om deze personeelsleden propaganda toe te sturen. Dit soort verwerking is namelijk niet in lijn met de doeleinden waarvoor de onderneming de gegevens van haar personeelsleden heeft verkregen. De oorspronkelijke doeleinden daarvan zijn namelijk het personeelsbeheer en de loonadministratie.
Mag er dan nooit een lijst naar de vakbond gaan? Dat kan enkel na de ondubbelzinnige en geïnformeerde toestemming van elke individuele werknemer op de lijst.
Wat met aanplakkingen en communicatie op elektronische manieren?
De onderneming kan de zogenaamde “aanplakkingen” die tijdens een verkiezingsprocedure moeten gebeuren, elektronisch uitvoeren. Dit wel op voorwaarde dat alle werknemers deze dan ook tijdens hun normale werkuren kunnen lezen.
De GBA raadt af om persoonsgegevens te communiceren via e-mail of te publiceren op de website. Dat betekent een verhoogd risico voor de privacy van de betrokken personen.
De onderneming kan wel gebruik maken van bijv. een gesloten platform of een beveiligd intranet dat enkel toegankelijk is voor de werknemers van de onderneming. Zo kan de onderneming eveneens via e-mail naar de werknemers een link versturen die doorverwijst naar dit platform of intranet.
Welk systeem gebruik je voor elektronisch stemmen?
Als de sociale verkiezingen elektronisch plaatsvinden moet u een “gereglementeerd” informaticasysteem gebruiken. Dat systeem moet ontwikkeld zijn door een fabrikant die erkend is door de overheid. Een dergelijke ontwikkelaar moet immers niet alleen zelf de GDPR respecteren, maar moet eveneens in staat zijn om een performant systeem te ontwikkelen dat de nodige garanties biedt opdat de vooropgestelde verwerking van gegevens voldoet aan de GDPR.
Daarnaast moet de onderneming met de softwareontwikkelaar een “verwerkersovereenkomst” (data processing agreement) sluiten, waarin o.a. de aard, het doel en de duur van de verwerking worden vastgelegd.
(Dit kunnen wij ook voor u opstellen. Ga hiervoor naar verwerkersovereenkomst)
Wat met het inlezen van een ID-kaart en het gebruik van het rijksregisternummer?
De onderneming die elektronische verkiezingen organiseert, moet voorzichtig omgaan met het inlezen van de elektronische identiteitskaart van haar werknemers.
In principe mag een elektronische identiteitskaart alleen worden ingelezen met de uitdrukkelijke toestemming van de houder van de kaart, tenzij dit absoluut noodzakelijk is om het bewijs van zijn identiteit te leveren. Dit is het geval wanneer de werknemer elektronisch wil stemmen.
Let op: er geldt een principieel verbod op het gebruik van het rijksregisternummer (bv. opslaan, delen hiervan) voor organisaties die geen taak van algemeen belang vervullen. De verwerking van het rijksregisternummer is immers enkel toegelaten voor taken van algemeen belang, op grond van een uitdrukkelijke wettelijke bepaling of na een machtiging van de minister van Binnenlandse Zaken. Dit is dus niet het geval voor sociale verkiezingen.
Als het enkel gaat om de loutere kennisneming (zonder verdere verwerking) van het rijksregisternummer bij het inlezen van de identiteitskaart, of om het uitsluitende gebruik van het rijksregisternummer met als doel de persoon te identificeren en authentiseren voor het gebruik van een informaticatoepassing, mag dat. Let wel, zolang dit gebeurt in overeenstemming met de hieraan verbonden voorwaarden die de wet op het Rijksregister stelt.
Als uitzendkrachten meestemmen (die hiervoor ook het recht hebben) zal het uitzendbureau in principe het rijksregisternummer van deze uitzendkrachten meedelen. De uitzendkracht moet van deze mededeling wel op de hoogte zijn, maar geen expliciete toestemming geven.
Vragen of begeleiding nodig bij sociale verkiezingen?
Zal u de verkiezingen elektronisch organiseren en heeft u bijstand nodig bijv. voor het opmaken van de verwerkersovereenkomst of bij het interpreteren van bepaalde regels, kan u steeds terecht bij onze experten Privacy & IT en sociaal recht.
CONTACTEER ONS HIER MET UW VRAAG
Neem ook een kijkje op onze productpagina’s
SOCIALE VERKIEZINGEN: VOORBEREIDING EN ADVIES
Ook interessant
- Sociale verkiezingen: verplichtingen in de pre-electorale fase
- Sociale verkiezingen: verplichtingen in de verkiezingsperiode