Welke rol heeft de ondernemingsraad (OR) bij de implementatie van de AVG/GDPR?
Bent u al met de OR in de weer over de implementatie van de Algemene Verordening Gegevensbescherming (AVG)? In dit artikel leggen wij uit welke onderdelen van de nieuwe privacywetgeving onder het instemmings- of adviesrecht van de OR vallen en welke niet. Aan het einde van het artikel geven we advies over maatregelen die u kunt nemen om de voortgang van het medezeggenschapstraject te bevorderen.
De AVG is ook bekend onder de naam General Data Protection Regulation (GDPR). Op dit moment zijn veel bedrijven aan het onderzoeken welke aanpassingen binnen de organisatie moeten plaatsvinden om te voldoen aan de eisen van de AVG/GDPR. Bedrijven met een OR doen er verstandig aan de rol van de OR hierbij in het oog te houden.
Verwerking & bescherming persoonsgegevens van medewerkers
De OR heeft instemmingsrecht bij een voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling over het verwerken, alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen. Voorbeelden van onderwerpen die onder het instemmingsrecht kunnen vallen, zijn:
- het privacybeleid in het HR Handboek, een regeling waarmee invulling wordt gegeven aan de verruimde informatieverplichting die u ten opzichte van uw werknemers heeft
- het aanpassen van de standaard arbeidsovereenkomst of
- het verstrekken van persoonsgegevens van werknemers aan derden, zoals een Arbodienst of een extern bureau dat de salarisadministratie doet.
In de literatuur bestaat discussie over de vraag of het aanstellen van een functionaris gegevensbescherming (FG), ook wel de Data Protection Officer (DPO) genoemd, wel of niet onder dit instemmingsrecht valt. Hoewel hier nog geen eensluidend antwoord op bestaat, wordt algemeen aangenomen dat dit afhankelijk is van het takenpakket van de FG/DPO. Als de FG/DPO een takenpakket krijgt waarin hij of zij handelingen verricht die onder dit instemmingsrecht valt, dan zou diens aanstelling ook instemmingsplichtig zijn.
Het instemmingsrecht betreffende verwerking en bescherming van persoonsgegevens kan nauw verwant zijn aan het instemmingsrecht betreffende personeelsvolgsystemen.
Personeelsvolgsystemen
De OR heeft instemmingsrecht bij een regeling inzake voorzieningen die gericht zijn op, of geschikt zijn voor, waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen. De AVG/GDPR kan tot gevolg hebben dat u wijzigingen aanbrengt in regelingen inzake personeelsvolgsystemen of dat u een nieuwe regeling invoert. Denk hierbij onder meer aan regelingen betreffende systemen voor de beoordeling van de prestaties van medewerkers of cameratoezicht op de werkvloer. Wanneer u deze in lijn brengt met de AVG/GDPR, heeft de OR een rol bij de besluitvorming.
Technologische voorzieningen
De OR heeft een adviesrecht bij de invoering of wijziging van een belangrijke technologische voorziening. Dit kan zowel hardware als software zijn. De AVG/GDPR kan bijvoorbeeld een aanleiding zijn om te kiezen voor een andere ICT-voorziening. De nieuwe privacywetgeving stelt immers meer eisen aan de bescherming van persoonsgegevens. Als de nieuwe technologische voorziening ‘belangrijk’ genoeg is, kan deze onder het adviesrecht vallen.
Een belangrijke wijziging in een technologische voorziening kan tot gevolg hebben dat de onderneming een belangrijke investering moet doen.
Het doen van een belangrijke investering ten behoeve van de organisatie
Ook heeft de OR een adviesrecht bij het doen van een belangrijke investering ten behoeve van de organisatie. Een voorziening kan ‘belangrijk’ zijn als er veel geld mee gemoeid is of als er personele consequenties aan verbonden zijn.
Verstrekken van een adviesopdracht aan een deskundige buiten de onderneming
Veel ondernemingen beschikken intern niet over voldoende expertise om de AVG/GDPR in te voeren in de organisatie. Als u een deskundige van buiten de onderneming om advies vraagt, kan zowel de keuze van de deskundige als het formuleren van de adviesopdracht onder het adviesrecht vallen.
Ons advies: op tijd afspraken maken
Wij adviseren u voorafgaand aan een medezeggenschapstraject ten gevolge van de AVG/GDPR duidelijke afspraken te maken met uw OR. U kunt langdurige discussies met de medezeggenschap voorkomen door vooraf samen de grenzen te bepalen van de onderdelen die onder het advies- of instemmingsrecht vallen. Geef hierbij ook aandacht aan het verschil tussen het beleid zelf en de uitvoeringshandelingen die bij dat beleid horen. Uitvoeringshandelingen hoeven, nadat het beleid is vastgesteld, niet aan de OR worden voorgelegd.
Ook is het raadzaam om vooraf vast te leggen welke onderwerpen bij de OR horen en welke bij de vakbonden. In de Wet op de Ondernemingsraden (WOR) staat dat u geen instemming van de OR nodig heeft als het onderwerp inhoudelijk is geregeld in de collectieve arbeidsovereenkomst. Dit wordt ‘het primaat van de cao’ genoemd. Is in de CAO alleen een raamwerk afgesproken, dan is het alsnog mogelijk dat u medewerking van de OR nodig heeft voor regelingen die invulling aan dat raamwerk geven.
Wilt u graag begeleiding voorafgaand aan of bij een medezeggenschapstraject? Of heeft u met de OR een verschil van mening over de toepassing van het advies- of instemmingsrecht? Holla Advocaten is gespecialiseerd in complexe en lastige medezeggenschapszaken én de AVG/GDPR. Neem contact op met onze specialist Bert van den Boom voor hulp en informatie.
Dit artikel is geschreven door
Peggie van Vugt, medewerker Wetenschappelijk Bureau van Holla Advocaten.
Lees ook onze artikelen over
de betekenis van de AVG/GDPR voor werkgevers, het verwerkingsregister en
de DPIA.
