De macht van de ondernemingsraad onder de AVG

De inwerkingtreding van de Algemene Verordening inzake Gegevensbescherming (‘AVG’) per 25 mei a.s. is niet ver weg meer. Ook voor ondernemingsraden is een belangrijke rol weggelegd. Ondernemingsbeslissingen op het gebied van privacy kunnen namelijk vallen onder het advies- of instemmingsrecht van de ondernemingsraad, zoals hierna zal worden toegelicht.

Ten eerste is op grond van artikel 25 lid 1 sub k van de Wet op de ondernemingsraden (‘WOR’) een voorgenomen besluit tot invoering of wijziging van een belangrijke technologische voorziening adviesplichtig. Onder technologische voorzieningen kunnen zowel voorzieningen op het terrein van de hardware als van de software vallen. Met de inwerkingtreding van de AVG zullen ondernemers wellicht nieuwe technologische voorzieningen treffen, om te kunnen voldoen aan de privacy-eisen die deze wet- en regelgeving met zich meebrengt. In een dergelijk geval is het belangrijk dat de ondernemingsraad vroegtijdig in het proces wordt betrokken. Let op: als een besluit stapsgewijs wordt ingevoerd, dient er voor elke stap advies te worden gevraagd.  

Daarnaast is op grond van artikel 27 lid 1 sub k van de WOR een voorgenomen besluit tot vaststelling, wijziging of intrekking van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen instemmingsplichtig. Dit heeft betrekking op persoonsregistraties en regelingen over het verzamelen, bewaren, gebruiken en beveiligen (lees: verwerken) van persoonsgegevens van de in de onderneming werkzame personen. Hierbij kan onder meer worden gedacht aan regelingen omtrent verzuimregistraties, personeelsdossiers en de salarisadministratie.

Regelmatig hangen dergelijke voorgenomen besluiten samen met een instemmingsrecht op grond van artikel 27 lid 1 sub l van de WOR (regelingen omtrent personeelscontrolesystemen). Dit zijn regelingen die de ondernemer treft over voorzieningen die zijn gericht op of geschikt zijn voor waarneming en/of monitoring van het gedrag of prestaties van de in de onderneming werkzame personen. Te denken valt aan (heimelijk) cameratoezicht, tijdsregistratiesystemen of andere systemen van toegangscontrole. Let op: van eenmaal gegeven instemming kan de ondernemer niet zomaar afwijken, zonder eerst weer de ondernemingsraad te raadplegen.

In de praktijk is het echter vaak de vraag wat valt onder een ‘regeling’ als bedoeld in artikel 27 van de WOR (en wat als zodanig dus instemmingsplichtig is). Een regeling is in ieder geval een besluit van algemene strekking dat betrekking heeft op alle of een groep van de in de onderneming werkzame personen. Niet verwonderlijk is derhalve dat privacybeleid – in de ruimste zin van het woord – onder de reikwijdte van artikel 27 van de WOR zal vallen. Dat is uiteraard niet anders als het privacybeleid wordt neergelegd in verschillende regelingen, omdat de ondernemer anders redelijk gemakkelijk onder het instemmingsrecht kan uitkomen.

Ingewikkelder is het evenwel om onderscheid aan te brengen tussen een regeling en de daaruit voortvloeiende uitvoeringshandelingen. Dit is van belang, omdat een regeling instemmingsplichtig is en de daaruit voortvloeiende uitvoeringshandelingen niet. Als het privacybeleid dan eenmaal met de ondernemingsraad is afgestemd en het beleid verder uitgerold kan gaan worden, kunnen alle daaruit voortvloeiende uitvoeringshandelingen zonder voorafgaande instemming van c.q. afstemming met de ondernemingsraad worden uitgevoerd.

Om onduidelijkheid te voorkomen tussen wat nu als een regeling en wat als daaruit voortvloeiende uitvoeringshandelingen kan worden aangeduid, is communicatie tussen de ondernemingsraad en de ondernemer uitermate belangrijk. Er kunnen bijvoorbeeld afspraken worden gemaakt omtrent wat precies onder privacybeleid dient te worden verstaan (en wat als zodanig dus instemmingsplichtig is). Op grond van het voorgaande is het derhalve van belang om – zoals altijd – een goede relatie met een ondernemingsraad te onderhouden, gezien hun rol onder de AVG. Ga er in ieder geval niet te snel van uit dat sprake is van een uitvoeringshandeling. Denk bijvoorbeeld aan het aangaan of wijzigen van overeenkomsten met personeel of een IT-leverancier als uitvloeisel van een met de ondernemingsraad afgestemd privacybeleid.

Voor meer informatie over de rol van de ondernemingsraad onder de AVG kunt u contact opnemen met (een van) de privacyspecialisten van Pellicaan Advocaten.