Anders dan in de eerste checklist (klant- en leveranciersadministratie) verwerkt metaalbedrijf Jansen in het kader van de personeels- en loonadministratie ook bijzondere persoonsgegevens. Dit zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn (zie ook de opsomming van bijzondere persoonsgegevens in het profiel van metaalbedrijf Jansen). Bijzondere persoonsgegevens verdienen specifieke bescherming, omdat de verwerking ervan grote risico’s kan meebrengen voor de betrokkenen.

Een persoonsgegeven is niet alleen bijzonder indien het direct het betreffende ‘bijzondere onderwerp’ onthult, maar ook indien de gegevens indirect informatie bevatten. Een voorbeeld van een bijzonder persoonsgegeven is het lidmaatschap van een vakbond van een werknemer. Indien u ergens een lijstje heeft opgeslagen met daarin de namen van de werknemers die lid zijn van een vakbond (wat niet is toegestaan!), dan gaat het om directe informatie over het bijzondere persoonsgegeven. Het is echter zeer waarschijnlijk dat u op een andere, indirecte, manier over deze informatie beschikt. Op grond van een regeling uit de CAO (voor het Metaalbewerkingsbedrijf of de CAO Metalektro) kunnen werknemers namelijk recht hebben op (gedeeltelijke) teruggaaf van de vakbondscontributie. Als u de aanvraag hiervan van de werknemer opslaat of het bewijs van de contributiebetaling gebruikt voor de fiscale verrekening in de werkkostenregeling, gaat het om gegevens die indirect de informatie omtrent het lidmaatschap van de vakbond onthullen. Ook in dit laatste geval gaat het om bijzondere persoonsgegevens!

Volgens de huidige privacywet, de Wet bescherming persoonsgegevens, is het burgerservicenummer (BSN) een bijzonder persoonsgegeven. Volgens de AVG is het BSN echter géén bijzonder persoonsgegeven, maar hier komen waarschijnlijk wel speciale regels voor. De lidstaten mogen onder de AVG namelijk zelf nadere voorwaarden stellen aan het verwerken van het BSN. Welke speciale regels hiervoor in Nederland gelden, staat op dit moment nog niet vast.

Kort gezegd is verwerking van bijzondere persoonsgegevens verboden, tenzij sprake is van een uitzondering genoemd in de AVG en dan alleen nog binnen de grenzen van die uitzondering.

Metaalbedrijf Jansen verwerkt natuurlijk niet alle soorten bijzondere persoonsgegevens. Wij gaan er hierbij vanuit dat zij niet verwerkt:

- persoonsgegevens waaruit politieke opvattingen blijken;
- persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
- genetische gegevens; en
- gegevens over seksueel gedrag of seksuele gerichtheid.

Daarnaast gaan wij ervan uit dat metaalbedrijf Jansen geen persoonsgegevens verwerkt die betrekking hebben op strafrechtelijke feiten of veroordelingen.

Metaalbedrijf Jansen verwerkt (mogelijk) wel:

a. persoonsgegevens waaruit ras of etnische afkomst blijkt;
b. persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;
c. biometrische gegevens; en
d. gezondheidsgegevens.

Toelichting bij a. Een voorbeeld van persoonsgegevens waaruit ras of etnische afkomst blijkt zijn de identiteitspasjes met foto’s die de werkgever aan zijn werknemers verstrekt. Omdat een kopie van zulke pasjes in de regel door de werkgever wordt bewaard en opgeslagen, is doorgaans sprake van een verwerking van persoonsgegevens. Aangezien van de foto op het pasje het ras van de werknemer kan worden afgeleid, gaat het bovendien om een verwerking van een bijzonder persoonsgegeven. Een dergelijk pasje kan verstrekt worden met het oog op de identificatie van de werknemer bij het betreden van het gebouw van de werkgever. Het belang van de werkgever kan met zich brengen dat invoering van een pasjessysteem noodzakelijk is. Dit zal zich bijvoorbeeld kunnen voordoen bij grote werkgevers die veel werknemers in dienst hebben en waarbij identificatie bij het betreden van het terrein van de werkgever alleen op een juiste manier kan plaatsvinden aan de hand van een van een foto voorzien identiteitsbewijs.

Toelichting bij b. Bij het lidmaatschap van een vakbond moet u niet alleen denken aan de bekende vakbonden (FNV, CNV, etc.), maar ook een personeelsvereniging kan hieronder vallen indien zij (mede) bij de werkgever opkomt voor werknemersbelangen. Indien deze vereniging zich echter alleen bezighoudt met organisatie van gezamenlijke activiteiten en zich verder dus niet richt op belangenbehartiging van de werknemers, dan is dit geen vakbond.

Toelichting bij c. Bij biometrische gegevens kunt u denken aan portretten, een irisscan, vingerafdrukken of stemgeluid. Deze gegevens maken eenduidige identificatie mogelijk, omdat het gaat om unieke lichaamskenmerken die zijn te herleiden naar één individu. Vaak bevatten biometrische gegevens meer informatie dan strikt noodzakelijk zou zijn voor identificatie van de persoon. Biometrische gegevens zijn echter alleen bijzondere persoonsgegevens als ze worden verwerkt met het oog op identificatie. Bij een opname van een beveiligingscamera hangt dit dus van het doel van de opname af.

Foto’s kunnen onder bepaalde omstandigheden worden aangemerkt als biometrische gegevens. Dit is bijvoorbeeld het geval indien de foto’s worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.

Toelichting bij d. Gezondheidsgegevens omvatten alle persoonsgegevens over de fysieke of mentale gezondheid van een persoon, zowel in het heden, verleden als de toekomst. Het gaat om gegevens omtrent ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron waaruit deze informatie verkregen wordt. Ook uitslagen van onderzoeken aan het lichaam of aan lichaamseigen stoffen (zoals bloed) vallen onder gezondheidsgegevens.