nieuws

Instemmingsrecht OR bij privacy-functionaris niet vanzelfsprekend

6 februari 2018

De WOR garandeert niet instemmingsrecht van de ondernemingsraad als het gaat om de omschrijving van de functie en taken van de functionaris gegevensbescherming (FG).  Vanaf 25 mei 2018 zijn sommige organisaties verplicht een FG aan te stellen volgens de Algemene Verordening Gegevensbescherming (AVG) die dan in werking treedt. Onlangs berichtte vakbond FNV in zijn nieuwsbrief dat de ondernemingsraad volgens artikel 27.1k WOR instemming moet geven over de omschrijving van de functie en de taken van de FG. Vanuit juridisch perspectief is dit instemmingrecht toch niet zo verstrekkend. Zo bleek uit navraag bij advocaat arbeids- en medezeggenschapsrecht Karolina Dorenbos, gespecialiseerd in privacywetgeving.

 

Meer weten over de rol van de OR bij de nieuwe privacywet? Bekijk de checklist! (alleen voor leden)

 

Wat zegt de wet?

Artikel 27.1k legt het instemmingsrecht van de OR vast als het gaat om ‘een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen’. Karolina Dorenbos: ‘De lijst van instemmingsplichtige besluiten genoemd in artikel 27 lid 1 WOR is uitputtend; aanstelling van de FG is niet opgenomen in de lijst en het ligt niet in de lijn der verwachting dat dit gaat wijzigen in het kader van de Uitvoeringswet AVG.’ Het instemmingsrecht zou alleen gelden als de omschrijving van het takenpakket van de FG onderdeel uitmaakt van een regeling tot verwerking en bescherming van werknemersgegevens.

 

Ondernemingsraad als beschermer van privacy

Alhoewel de conclusie van de FNV dus wat te ver strekt, is het wel zo dat er voor uw ondernemingsraad een belangrijke rol is weggelegd wat betreft privacy. ‘De ondernemingsraad moet zo vroeg mogelijk worden betrokken bij voorgenomen besluiten die zien op de verwerking en bescherming van persoonsgegevens. Ook heeft de OR instemmingsrecht ten aanzien van beleid dat ziet op privacy en een adviesrecht bij de uitvoering van dat beleid. Denk hierbij aan de invoering van een ‘belangrijke technologische voorziening,’ aldus Dorenbos.

 

In welk geval is het vanaf 25 mei 2018 verplicht een FG aan te stellen?

De functionaris gegevensbescherming (FG) houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. In de volgende drie situaties zijn organisaties verplicht een FG aan te stellen:

  • Als het een overheids- of publieke organisatie betreft;
  • als de organisatie vanuit zijn kernactiviteiten op grote schaal individuen volgt, denk aan cameratoezicht;
  • als de organisatie op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is.