Ten laatste op 25 mei 2018 dient u in regel te zijn met de General Data Protection Regulation (GDPR). Deze Europese verordening over de bescherming en beveiliging van persoonsgegevens verplicht elke onderneming om een aantal acties te ondernemen m.b.t. de verwerking van persoonsgegevens. De inspanningen die u daarvoor levert documenteert u best zoveel mogelijk. Eén van de documenten die u daarvoor kan gebruiken is de Interne Privacy Policy (IPP).
Als onderneming verwerkt u dagdagelijks persoonsgegevens van uw medewerkers (werknemers, freelancers, vennoten,…). Van bij de sollicitatie tot zelfs enkele jaren na het beëindigen van de samenwerking. Denken we hierbij aan CV’s, loongegevens, evaluaties, arbeidsovereenkomsten, camerabeelden, contactgegevens, schoen- en kledingmaten, bankgegevens, verzekeringsgegevens, … Vaak zal u hiervoor beroep doen op derde partijen zoals het sociaal secretariaat, banken, de externe dienst, verzekeringsmaatschappijen, … die op hun beurt al deze gegevens opslaan en verwerken.
De Interne Privacy Policy (IPP) is bedoeld om:
- uw medewerkers wegwijs te maken in de basisprincipes van de GDPR
- uw medewerkers te verduidelijken wat in het kader van de GDPR van hen verwacht wordt
- uw medewerkers te informeren over hun rechten m.b.t. de persoonsgegevens die u van hen verwerkt (recht op inzage, recht op rectificatie, recht op vergetelheid,…)
Behalve algemene informatie over de GDPR bevat de IPP onder meer informatie over het type persoonsgegevens die u van uw medewerkers verzamelt, het doel waarvoor u ze verzamelt en eventuele externe verwerkers die er op hun beurt mee aan de slag gaan.
Om hun rechten te kunnen uitoefenen is het belangrijk dat uw medewerkers weten bij wie ze hiervoor terecht kunnen. In de IPP dient u daarom ook de gegevens te vermelden van de persoon die als interne verantwoordelijke voor de GDPR werd aangeduid. In de meeste gevallen betreft het hier de zaakvoerder zelf, maar u mag hiervoor ook een medewerker (bijv. van uw personeelsadministratie) aanduiden. Vragen i.v.m. de GDPR laat u bij voorkeur steeds schriftelijk stellen. Op elke vraag dient u binnen de maand te reageren. Maak hiervoor best een afzonderlijk e-mailadres aan (bijv. GDPR@...) dat u eveneens in de IPP opneemt.
Zorg ervoor dat elke medewerker een exemplaar van de IPP ontvangt. Maak een routine voor nieuwe medewerkers. Een handtekening is in principe niet vereist, maar zorg toch best steeds voor twee exemplaren die u laat aftekenen en waarvan u er één bewaart in uw GDPR-map.
Het spreekt voor zich dat het opmaken en overhandigen van de IPP an sich niet volstaat, maar dat u de regels ook daadwerkelijk moet naleven.
Horecafocus werkte voor u een volledige
GDPR-documentenset uit en kan u ook helpen bij het invullen ervan. Meer hierover kon u lezen in een vorige bijdrage.