PRIVACY EN PERSOONSGEGEVENS

Persoonsgegevens mogen uitsluitend worden doorgegeven naar landen die een passend beschermingsniveau waarborgen. Dat is het uitgangspunt hoe we in de Europese Unie, dus ook in Nederland met persoonsgegevens omgaan. Tot 6 oktober 2015 hadden we hiervoor met de VS een aparte regeling: de Safe Harbor regels. Ondernemingen hierbij aangesloten zijn,  golden als ondernemingen die voldoen aan de eis ‘passend beschermingsniveau’.

Als OR heb je met Safe Harbour wellicht te maken (gehad) bij een overname door een bedrijf uit de VS. Het verplaatsen, doorgeven, van de persoonsgegevens naar een Amerikaanse server is waarschijnlijk tijdens deze overname met jullie besproken. Persoonsgegevens en de OR gaat veelal over gegevens van de medewerkers. Tegelijkertijd is het ook zo dat de gegevens van klanten op Amerikaanse servers bewaard worden.

Op 6 oktober heeft het Europese Hof van Justitie hier een streep doorgehaald. Het hof verklaarde de Safe Harbor-bepaling nietig omdat de privacywetgeving in de Verenigde Staten onvoldoende is. Doorgeven van persoonlijke gegevens vanuit  Nederland, de Europese Unie, naar de VS, gebaseerd op die Safe Harbour certificering is tot onrechtmatig verklaard. Volgens de Europese rechters hebben Amerikaanse veiligheidsdiensten namelijk toegang tot Europese persoonsgegevens. Dit zonder toestemming van gebruikers. En dat is in strijd met het Europese recht. Door deze uitspraak mogen Europese persoonsgegevens alleen nog in Amerika worden opgeslagen als Europese burgers het recht hebben om daarover te klagen. Of om juridische stappen te nemen tegen de schending van hun privacy!

In de context van wie is nou de baas over persoonsgegevens is helderder geworden, dat dat de nationale privacywaakhonden zijn. In Nederland is het College Bescherming Persoonsgegevens (CBP) de ‘privacywaakhond’.  Het CBP heeft nu de mogelijkheid om steviger op te treden tegen bedrijven die zich niet houden aan de Nederlandse regelgeving. Dat is altijd al de taak van het CBP, maar nu moet het CBP ook onderzoeken of het doorgeven van persoonsgegevens aan Amerikaanse bedrijven voldoet aan een passend niveau van privacybescherming.

Wat betekent dit voor de medezeggenschap?
Hoe het er precies uit gaat zien, is nu kort na de uitspraak nog niet helder. Een ding is helder als het om privacy gaat, moeten Amerikaanse bedrijven in actie komen om de privacy van Europese gebruikers te regelen, bijvoorbeeld in aparte contracten. De OR ziet toe op naleving van de privacybescherming. Welk effect heeft de uitspraak op de bestaande regeling  (27.1.k) is een vraag die zeker op de agenda van ondernemingsraden thuishoort. In de praktijk hebben namelijk niet alleen ondernemingsraden van Amerikaanse bedrijven hiermee te maken. Het zou zo maar kunnen zijn dat data verwerkt wordt via Google, Microsoft, Apple, Facebook en Amazon.

We weten niet wat precies de effecten zullen zijn. Reacties in de pers gaan ook over economische schade omdat bedrijven kosten moeten maken om de bestaande situatie aan te passen. Bedrijven moeten bijvoorbeeld onderzoeken hoe de gegevensoverdracht alsnog kan plaatsvinden. Ook dit onderwerp hoort op de agenda van het OR-overleg en de overlegvergadering.

Ondernemingsraden die niets met de VS van doen hebben, hebben desalniettemin wel met de verwerking van persoonsgegevens te maken. In Nederland hebben we hiervoor de Wet bescherming persoonsgegevens (Wbp). Voor doorgeven van persoonsgegevens naar andere landen dan de VS wordt een onderscheid gemaakt tussen doorgifte naar een EU-lidstaat of doorgifte naar een land buiten de Europese Unie. Op de export van persoonsgegevens naar een EU-lidstaat zijn geen extra regels van toepassing. Voor doorgifte naar een land buiten de Europese Unie gelden strenge regels. Het andere land is verplicht een zelfde bescherming als binnen Europa wordt gewaarborgd.Ook dat is een onderwerp dat de aandacht van de ondernemingsraad verdient.

Wil je eens verder doorpraten over privacy en de ondernemingsraad neem dan contact met ons op.

De eerstvolgende WOR-dag vindt plaats op 28 november 2016 in Leusden. Aanmelden kan via: dit formulier



Stel een vraag

Wilt u een vraag stellen aan Delphior Pro OR? Dat kan. Klik op onderstaande button:



Contact

Delphior Pro OR

Postbus 357
3830 AK Leusden
+31 33 4343016

lukas@delphior.nl

henny@delphior.nl

www.delphior.nl

Administratief

KvK 58659730

BTW NL853128911B01

Bank NL23 TRIO 0197 7037 63

© Delphior Pro OR 2015