Werkgevers mogen alleen een personeelsdossier aanleggen als dat noodzakelijk is om een arbeidsovereenkomst uit te voeren. Daarbij moeten zij rekening houden met de privacy van de werknemers.
Voorwaarden personeelsdossier
De Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) geven de voorwaarden voor het aanleggen van personeelsdossiers.
Werkgevers:
- zijn verantwoordelijk voor de juistheid en nauwkeurigheid van de gegevens in het personeelsdossier;
- mogen niet meer gegevens in het personeelsdossier vastleggen dan nodig is, en de gegevens moeten relevant zijn;
- moeten de werknemers informeren, onder meer over welke gegevens zij verzamelen, voor welke doeleinden en op basis van welke rechtsgrond;
- moeten de persoonsgegevens passend beveiligen, zodat ze niet verloren raken of in verkeerde handen terechtkomen;
- mogen de persoonsgegevens niet langer bewaren dan noodzakelijk is;
- moeten werknemers de mogelijkheid bieden hun gegevens in te zien – dit geldt in principe voor het gehele personeelsdossier – en eventueel te rectificeren te beperken of te verwijderen;
- moeten werknemers afzonderlijk wijzen op het recht van bezwaar bij de verwerking van gegevens op grond van het gerechtvaardigd belang;
- moeten werknemers in voorkomende gevallen de mogelijkheid bieden hun recht op dataportabiliteit (recht om gegevens over te dragen) uit te oefenen.
Let op: de werknemer kan niet alle soorten gegevens laten overdragen. Het gaat alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Daarnaast gaat het om persoonsgegevens die een organisatie óf met zijn toestemming verwerkt óf om een overeenkomst met de werknemer uit te voeren.
Welke gegevens in personeelsdossier?
Welke gegevens mag de werkgever opnemen in het personeelsdossier?
De hoofdregel is dat de werkgever alleen gegevens in het personeelsdossier mag opnemen die noodzakelijk zijn voor het doel van het personeelsdossier.
In het personeelsdossier bewaart de werkgever de gegevens die hij nodig heeft om de arbeidsovereenkomst met de werknemer te kunnen uitvoeren. Een goed personeelsdossier bevat alle actuele gegevens op basis waarvan de werkgever zijn beslissingen over de werkgever kan onderbouwen, bijvoorbeeld salarisverhoging of ontslag.
Bepaalde gegevens heeft de werkgever nodig om te kunnen voldoen aan wettelijke verplichtingen, zoals het betalen van belasting en premies. Andere gegevens zijn belangrijk voor bijvoorbeeld het personeelsbeleid.
Inhoud personeelsdossier
De werkgever mag onder meer de volgende gegevens in het personeelsdossier opnemen:
- klachten;
- waarschuwingen;
- verzuimfrequentie (hoe vaak de werknemer er niet is);
- verslagen van beoordelings- en functioneringsgesprekken die door de werknemer voor akkoord of gezien zijn getekend;
- een kopie van het identiteitsbewijs;
- het burgerservicenummer (BSN);
- persoonlijke werkaantekeningen van de leidinggevende.
Medische gegevens
De werkgever mag de medische gegevens van werknemers in principe niet opnemen in het personeelsdossier.
Strafrechtelijke gegevens
De werkgever mag strafrechtelijke persoonsgegevens alleen onder strikte voorwaarden verwerken:
- de verwerking van deze gegevens is noodzakelijk om de belangen van de werkgever te beschermen;
- het gaat om strafbare feiten die zijn of worden gepleegd jegens de werkgever of jegens zijn werknemers;
- de verwerking vindt plaats volgens de regels die zijn vastgesteld in overeenstemming met de Wet op de ondernemingsraden.
Gegevens over ras
De werkgever mag alleen gegevens over het ras in het personeelsdossier opnemen als dat nodig is om de werknemer te kunnen identificeren of om een voorkeursbeleid (positieve discriminatie) toe te passen.
Toegang tot personeelsdossier
Het personeelsdossier is alleen toegankelijk voor personen voor wie toegang tot deze gegevens noodzakelijk is om hun werkzaamheden te kunnen doen. Denk hierbij bijvoorbeeld aan de directe leidinggevende of medewerkers van de afdeling personeelszaken.
Regeling toegang personeelsdossier
Soms zijn er binnen een organisatie specifieke regelingen over wie toegang heeft tot personeelsdossiers. Zo kan binnen de organisatie geregeld zijn dat alleen personen die (extra) gescreend zijn, toegang hebben tot personeelsdossiers.
Personeelsdossiers digitaliseren
De werkgever mag het personeelsdossier digitaliseren. Maar de werkgever mag het originele papieren dossier pas vernietigen als hij zorgt voor goede beveiliging van het digitale dossier.
De Algemene verordening gegevensbescherming (AVG) stelt beveiligingseisen aan zowel een digitaal als een papieren personeelsdossier. De werkgever moet er bijvoorbeeld voor zorgen dat slechts een beperkt aantal mensen toegang heeft tot het personeelsdossier.
Andere beveiligingsmaatregelen
Verder vraagt een digitaal dossier andere beveiligingsmaatregelen dan een papieren dossier. Denk hierbij bijvoorbeeld aan firewalls als beveiligingsmaatregel wanneer het personeelsinformatiesysteem gekoppeld is aan het internet, zoals bij de mogelijkheid voor werknemers om online hun personeelsdossier in te zien.
Gegevens reiskostenvergoeding
Voor het bepalen van de reiskostenvergoeding mag de werkgever niet meer gegevens verwerken dan noodzakelijk is. De werkgever heeft alleen het woonadres nodig.
De werkgever mag hierbij niet vragen naar bijvoorbeeld het koop- of huurcontract van de woning. Hier staat namelijk ook andere (persoonlijke) informatie op, die niet relevant is voor het bepalen van de reiskostenvergoeding. De werkgever heeft voor dit doel genoeg aan het woonadres uit het personeelsdossier of een uittreksel uit het bevolkingsregister waarop het adres staat.
Gegevens bewaren
Hoe lang mag de werkgever gegevens in het personeelsdossier bewaren?
Dat hangt af van het soort gegevens. De werkgever is wettelijk verplicht sommige gegevens uit het personeelsdossier een bepaalde tijd te bewaren.
De werkgever moet gegevens uit de salarisadministratie die fiscaal van belang zijn, 7 jaar bewaren nadat de werknemer uit dienst is. Loonbelastingverklaringen en een kopie van het identiteitsbewijs moet de werkgever 5 jaar na het einde van het dienstverband bewaren.
Geen wettelijke bewaartermijnen
Voor sommige gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens geldt over het algemeen een bewaartermijn van 2 jaar nadat het dienstverband is beëindigd. Zijn de gegevens al eerder niet meer nodig? Dan moet de werkgever ze direct verwijderen.
Voorbeelden van dit soort gegevens zijn:
- verslagen van functionerings- en beoordelingsgesprekken;
- arbeidsovereenkomsten en wijzigingen hierin;
- correspondentie over benoeming;
- promotie;
- degradatie en ontslag;
- afspraken over werkzaamheden voor de ondernemingsraad;
- getuigschriften en administratieve verzuimgegevens.
Langer bewaren
De werkgever kan gegevens van de (ex-)werknemer langer bewaren als er een arbeidsconflict met de werknemer is (geweest) of als er een rechtszaak loopt.
Personeelsdossier naar andere organisatie
Mag de werkgever het personeelsdossier overdragen aan een andere organisatie?
Dit mag bij een faillissement, fusie of overname. Maar om de privacy te beschermen moet de werkgever zich hierbij wel aan de volgende voorwaarden houden:
- De werkgever kondigt de overdracht aan, bijvoorbeeld via intranet of het personeelsblad.
- De werkgever mag niet meer gegevens verstrekken dan noodzakelijk is voor de uitvoering van de arbeidsovereenkomst of aanstelling als ambtenaar. De werkgever moet daarom het personeelsdossier opschonen en alle oude en niet meer relevante gegevens verwijderen.
- De werknemer krijgt de mogelijkheid om het personeelsdossier in te zien en eventueel bepaalde gegevens te laten corrigeren, beperken of verwijderen. Ook kan hij in voorkomende gevallen bezwaar maken.
Personeelsdossier inzien
Kan een werknemer zijn personeelsdossier inzien en/of gegevens laten corrigeren, beperken of verwijderen?
Ja, dat kan. De werknemer heeft het recht om het personeelsdossier in te zien. Ook kan hij een verzoek doen om gegevens in het personeelsdossier te laten corrigeren, beperken of verwijderen. Ook kan hij in voorkomende gevallen bezwaar maken.
Bron: Autoriteit Persoonsgegevens