(1) Invullen: Uw naam (incl. rechtsvorm) en vestigingsadres
Postcode, plaats
Telefoonnummer en e-mailadres

(2) Verzamelen en gebruiken van persoonsgegevens van sollicitanten, uitzendkrachten/payrollwerknemers, stagiaires en werknemers
Graag maken wij u er op attent dat wij de persoonsgegevens die u ons verstrekt zullen verzamelen en gebruiken omdat dit noodzakelijk is voor het doorlopen van de sollicitatieprocedure of om een (eventuele) arbeidsovereenkomst/stageovereenkomst/uitzendovereenkomst te sluiten en uit te voeren. Daarnaast zijn bepaalde persoonsgegevens nodig voor de nakoming en uitvoering van bepalingen uit de voor ons geldende CAO. Ook verzamelen en gebruiken wij uw persoonsgegevens om aan bepaalde wettelijke verplichtingen te kunnen voldoen. Deze wettelijke verplichtingen hebben bijvoorbeeld te maken met de vaststelling en verschuldigdheid van belastingen en premies voor werknemers.

Gelet op deze noodzaak bent u verplicht om de hiervoor benodigde persoonsgegevens aan ons te verstrekken. Als u ons geen of onvoldoende persoonsgegevens verstrekt, dan kunnen wij mogelijk geen sollicitatieprocedure met u doorlopen, een (eventuele) arbeidsovereenkomst/stageovereenkomst/uitzendovereenkomst met u aangaan en uitvoeren of aan onze wettelijke verplichtingen voldoen.

Bent u (payroll-)werknemer of stagiair, dan gebruiken wij uw gegevens voor het opstellen, uitvoeren en beëindigen van de arbeids- of stageovereenkomst of de arbeidsrelatie. Hieronder wordt onder meer verstaan:
a) de behandeling van personeelszaken;
b) het vaststellen en uitbetalen van het salaris, vergoedingen en andere geldbedragen; en
c) het vaststellen en betalen van eventuele belastingen, premies en andere fiscale verplichtingen ten behoeve van u als werknemer of stagiair.

Bent u een sollicitant, dan gebruiken wij uw gegevens om met u te kunnen communiceren over het verloop van de sollicitatieprocedure, de beoordeling van uw geschiktheid voor een functie die vacant is of kan komen en de eventuele afhandeling van de door u gemaakte onkosten.

Bent u een uitzendkracht, dan zullen wij de gegevens die wij verkrijgen van het uitzendbureau gebruiken voor de beoordeling van uw geschiktheid voor een functie die vacant is of kan komen en voor de uitvoering van de uitzendovereenkomst.

(3) Doorgifte aan derden
Het is mogelijk dat wij uw persoonsgegevens doorgeven aan andere partijen. Deze andere partijen kunnen overheidsorganen zijn, maar ook partijen die in onze opdracht werkzaamheden uitvoeren of partijen aan wie wij verplicht zijn gegevens te verstrekken in verband met de (uitvoering van de) arbeidsovereenkomst. Het gaat om de volgende partijen: [graag verder aanvullen of aanpassen]

o de Belastingdienst;
o het UWV;
o onze arbodienst/bedrijfsarts;
o de Nederlandse Arbeidsinspectie;
o het Pensioenfonds;
o de leasemaatschappij;
o de verzuimverzekeraar;
o onze accountant/boekhouder/salarisadministrateur;
o [eventueel aanvullen]
o [eventueel aanvullen]

Soms zal het verstrekken van uw gegevens aan een ander noodzakelijk zijn om te kunnen voldoen aan de wet, zoals het geval is bij doorgifte aan de Belastingdienst, het UWV, de arbodienst/bedrijfsarts, het (verplicht gestelde) Pensioenfonds en de Nederlandse Arbeidsinspectie.

In andere gevallen is de doorgifte noodzakelijk om de (arbeids)overeenkomst met u te kunnen uitvoeren, zoals bij doorgifte aan de leasemaatschappij. Bij verstrekking van uw gegevens aan onze verzuimverzekeraar hebben wij een gerechtvaardigd belang, namelijk dat wij daardoor aanspraak kunnen maken op een verzekeringsuitkering.

Daarnaast zijn er partijen die in onze opdracht werkzaamheden uitvoeren, zoals de accountant/boekhouder/salarisadministrateur. Bij deze doorgifte van uw gegevens hebben wij een gerechtvaardigd belang. Deze werkzaamheden zijn uitbesteed vanwege (onder meer) de kennis en expertise die onze accountant/boekhouder/salarisadministrateur bezit. Om de (arbeids)overeenkomst met u uit te voeren, heeft de accountant/boekhouder/salarisadministrateur uw persoonsgegevens nodig.

Verder maken wij gebruik van externe serverruimte voor de opslag van (delen van) onze personeels- en loonadministratie, waar uw persoonsgegevens onderdeel van uitmaken. Uw persoonsgegevens worden om die reden aan onze serverprovider verstrekt. Daarnaast maken wij gebruik van Microsoft Office en de bijbehorende opslagmogelijkheden voor e-mails en andere bestanden. Wij hebben bij deze twee doorgiften een gerechtvaardigd belang, omdat wij gegevens digitaal willen opslaan en verwerken en uitbesteding hiervan verschillende voordelen heeft.

(4) Bewaarperiode persoonsgegevens
Wij zullen uw sollicitatiegegevens uiterlijk 4 weken na het eindigen van de sollicitatieprocedure verwijderen, tenzij u ons toestemming heeft gegeven om uw gegevens voor een periode van maximaal 1 jaar te bewaren.

De persoonsgegevens uit de salarisadministratie die fiscaal van belang zijn zullen wij bewaren gedurende een periode van 7 jaar nadat u uit dienst bent getreden. Deze bewaartermijn hangt samen met een voor ons geldende wettelijke verplichting. Loonbelastingverklaringen en een kopie van uw identiteitsbewijs zullen wij 5 jaar na het einde van uw dienstverband bewaren. Ook deze bewaartermijn hangt samen met een voor ons geldende wettelijke verplichting.

Voor andere gegevens uit de personeels- of loonadministratie hanteren wij een bewaartermijn van uiterlijk 2 jaar nadat uw dienstverband is beëindigd, tenzij blijkt dat bepaalde persoonsgegevens voor ons noodzakelijk zijn om te voldoen aan een wettelijke (bewaar)plicht of als sprake is van een arbeidsconflict of rechtszaak. Bij ‘andere gegevens uit de personeels- of loonadministratie’ moet u bijvoorbeeld denken aan arbeidsovereenkomsten, verslagen van beoordelings- en functioneringsgesprekken, correspondentie over benoeming, promotie, degradatie en ontslag, getuigschriften en administratieve verzuimgegevens.

(5) Uw rechten
U heeft het recht om ons te vragen om uw eigen persoonsgegevens te mogen inzien. Als daartoe aanleiding bestaat, kunt u ons ook verzoeken om aanvulling van uw persoonsgegevens of om het wijzigen van onjuistheden. Daarnaast heeft u het recht om te vragen om uw persoonsgegevens te wissen of het gebruik van uw persoonsgegevens te beperken. Ook kunt u bij ons bezwaar maken tegen het verzamelen en gebruiken van uw gegevens. Vindt u dat wij onjuist omgaan met uw persoonsgegevens dan kunt u hierover een klacht indienen bij de organisatie die toezicht houdt op de privacyregels, de Autoriteit Persoonsgegevens. Tot slot kunt u ons verzoeken om verkrijging van uw persoonsgegevens of overdracht van die gegevens aan een ander.

U kunt de hierboven genoemde rechten niet onder alle omstandigheden uitoefenen. Hebben wij uw persoonsgegevens bijvoorbeeld nodig om de wet na te leven, dan kunt u geen bezwaar maken of verzoeken om wissing.

Om uw rechten te kunnen uitoefenen kunt u zich wenden tot: (invullen: uw bedrijfsnaam/specifieke contactpersoon van uw bedrijf, adres, postcode, plaats, telefoonnummer en e-mailadres). Ook met vragen of voor meer informatie over het verzamelen en gebruiken van uw persoonsgegevens kunt u uiteraard contact met ons opnemen.

> Download de Privacyverklaring (Deel II)
 

Hieronder zullen wij de informatie opsommen die u in zijn algemeenheid aan uw werknemers moet verstrekken. Daarbij zullen wij uiteraard aangeven hoe bij het onderdeel ‘personeels- en loonadministratie’ concreet invulling kan worden gegeven aan de informatieplicht. Als een onderdeel in de privacyverklaring is voorzien van een cijfer, dan kunt u hieronder de bijbehorende toelichting lezen.
 
Bij het volgende actiepunt zullen wij aangeven op welke wijze u de informatie aan de werknemers kunt verstrekken. 

Indien de werknemers overigens formeel in dienst zijn van een andere vennootschap, bijvoorbeeld bij een aparte personeels-B.V. binnen het concern, dan geldt het onderstaande voor deze personeels-B.V.

Informatie die u verplicht bent te verstrekken:

(1) Identiteit en contactgegevens
U moet de werknemers informeren over uw identiteit en uw contactgegevens. Wij raden minimaal aan de volgende gegevens te verstrekken: uw naam (inclusief rechtsvorm), vestigingsadres, postcode, plaats, telefoonnummer en e-mailadres.

Functionaris voor gegevensbescherming
Als u een functionaris voor gegevensbescherming heeft, dan moet u de contactgegevens van deze persoon verstrekken. De meeste Metaalunieleden hoeven geen functionaris aan te stellen (zie de toelichting bij het eerste actiepunt uit deze checklist). Deze informatieverplichting komt daardoor voor hen te vervallen.

(2) Verwerking van persoonsgegevens
U moet de werknemers vertellen waarom u hun persoonsgegevens wilt verwerken. Met andere woorden: wat is uw doel? Ook moet u aangeven welke grondslag u hiervoor gebruikt. Als sprake is van de grondslag ‘gerechtvaardigd belang’, moet dit belang worden benoemd en gemotiveerd. Verder moet u aangegeven of verstrekking van persoonsgegevens noodzakelijk is voor een wettelijke of contractuele plicht of een noodzakelijke voorwaarde is om de (arbeids)overeenkomst aan te gaan, of de werknemer verplicht is persoonsgegevens te verstrekken en wat de gevolgen zijn als hij dat niet doet.

(3) Doorgeven persoonsgegevens
Als u persoonsgegevens aan andere partijen/derden doorgeeft, dan moet u de werknemers informeren over de ontvangers of categorieën van ontvangers.

In het kader van de arbeidsrelatie met uw werknemers zullen in bijna alle gevallen ook andere organisaties persoonsgegevens van de werknemers verwerken. Denk hierbij bijvoorbeeld aan de externe personeelsdienst, boekhouder/accountant, arbodienst, verzuimverzekeraar, het pensioenfonds en de leasemaatschappij. Ook bij gebruikmaking van server-/opslagruimte bij een derde worden vaak persoonsgegevens doorgegeven.

Doorgeven persoonsgegevens aan ontvangers buiten de EER
Als u persoonsgegevens aan partijen/derden doorgeeft die buiten de EER zijn gevestigd, dan bent u verplicht om de werknemers te laten weten of dit land adequaat is verklaard door de Europese Commissie. Is zo’n besluit er niet, dan moet u aangeven welke passende en geschikte waarborgen dit land dan biedt ter bescherming van persoonsgegevens, hoe hier een kopie van kan worden verkregen of waar deze kunnen worden geraadpleegd.

Meestal is deze situatie niet van toepassing. Wel kan hiervan sprake zijn als bijvoorbeeld een kopie van bepaalde personeelsgegevens van werknemers centraal wordt opgeslagen op een server van het hoofdkantoor in het buitenland. Voor een verdere toelichting op doorgifte van persoonsgegevens aan derden verwijzen wij u graag naar de nadere toelichting hieronder.

(4) Bewaartermijn
U moet de werknemers informeren over hoe lang u hun persoonsgegevens gaat bewaren.

De verschillende (wettelijke) bewaartermijnen veranderen niet onder de AVG. De specifieke bewaartermijn in het kader van de personeelsadministratie hangt af van het soort gegevens.

- Voor gegevens uit de salarisadministratie die fiscaal van belang zijn geldt een bewaartermijn van 7 jaar nadat de werknemer uit dienst is.
- Voor de loonbelastingverklaring en een kopie van het identiteitsbewijs geldt een bewaartermijn van 5 jaar na het einde van het dienstverband.
- Bij sollicitatiegegevens is het gebruikelijk om de sollicitatiegegevens te verwijderen uiterlijk 4 weken na het einde van de sollicitatieprocedure, tenzij de sollicitant toestemming heeft gegeven om de gegevens langer te bewaren (een termijn van maximaal 1 jaar is hiervoor redelijk).
- Geen wettelijke bewaartermijnen gelden voor andere categorieën gegevens zoals verslagen van beoordelings- en functioneringsgesprekken, arbeidsovereenkomsten, correspondentie over benoeming, promotie, degradatie en ontslag, getuigschriften en administratieve verzuimgegevens. Voor dit soort gegevens is de richtlijn: een bewaartermijn uiterlijk 2 jaar nadat het dienstverband of de werkzaamheden van de betrokkene zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. Als de gegevens al eerder niet meer nodig zijn, moet u ze vanaf dat moment verwijderen.

Indien tussen de werkgever en de werknemer een arbeidsconflict bestaat of er een rechtszaak loopt, kan de werkgever de gegevens van de (ex-)werknemer langer bewaren.

(5) Rechten van betrokkenen
U moet de werknemers wijzen op de rechten die zij hebben. Het gaat dan om het recht op inzage, rectificatie, wissing, beperking van verwerking, bezwaar, digitale overdracht van de persoonsgegevens en het recht om een klacht in te dienen bij de AP. 

Intrekken toestemming
U moet de werknemers laten weten dat zij de gegeven toestemming voor verwerking van hun persoonsgegevens ook weer mogen intrekken.

In de arbeidsrelatie met de werknemer zal dit echter niet (snel) van toepassing zijn, omdat de toestemmingsgrond in de regel niet kan gelden in de relatie werkgever-werknemer (zie ook de toelichting op de grondslag 'toestemming' hieronder)

Geautomatiseerde besluiten
U moet de werknemers vertellen of er op basis van zijn persoonsgegevens geautomatiseerde individuele besluiten worden genomen. Dit zijn besluiten die de uitkomst zijn van een computeranalyse (dus zonder menselijke tussenkomst genomen) en voor de betrokkene (rechts)gevolgen hebben.

Bij de personeels- en loonadministratie zal van ‘geautomatiseerde individuele besluiten’ in de regel geen sprake van zijn.

Wij adviseren om met ingang van 25 mei 2018 alle (nieuwe) werknemers, stagiaires, sollicitanten en uitzendkrachten/payroll-werknemers te informeren in overeenstemming met de bepalingen uit de AVG. De informatieplicht bestaat overigens onder de Wbp ook al, maar wordt in de AVG uitgebreid en gedetailleerder.

Doorgeven van persoonsgegevens aan het VK

Door de Brexit is het VK geen onderdeel meer van de EU en valt dit land dus niet meer onder de AVG. Hierdoor zou het doorgeven van persoonsgegevens aan een partij in de VK moeilijker worden. Het was even onzeker welke structurele oplossing hiervoor zou komen. Sinds 28 juni 2021 is hier echter op Europees niveau een oplossing voor gevonden.

De Europese Commissie heeft namelijk een zogenaamd adequaatheidsbesluit genomen. In dit besluit oordeelt de Europese Commissie dat het niveau van bescherming van persoonsgegevens in het VK gelijkwaardig is aan dat in de EU. Daarmee is de veiligheid van persoonsgegevens, doorgegeven aan het VK, structureel voldoende gewaarborgd.

Geeft u persoonsgegevens door aan een partij in het VK, dan moet u dit nog wel aangeven in uw privacyverklaring. U moet opnemen aan wat voor soort partij u gegevens doorgeeft, dat deze partij in het VK zit en dat de doorgifte van persoonsgegevens is toegestaan op basis van het adequaatheidsbesluit van de Europese Commissie van 28 juni 2021 onder nummer C(2021) 4800 final. 

Doorgeven van persoonsgegevens aan de VS

Sinds de zomer van 2020 is het gebruik van Google Analytics, MailChimp en andere Amerikaanse aanbieders van elektronische communicatiediensten in strijd met de AVG. Een mogelijke oplossing voor het probleem is om een door de Europese Commissie voorgeschreven contract te sluiten met het Amerikaanse bedrijf aan wie gegevens worden doorgegeven. Zo'n contract wordt "Standard Contractual Clauses" (SCC) genoemd. Zo’n contract zal echter moeten worden aangevuld met technische, juridische of organisatorische maatregelen om de privacy daadwerkelijk te kunnen waarborgen. Of de bescherming van persoonsgegevens voldoende is gewaarborgd door SCC te gebruiken in combinatie met aanvullende maatregelen zal van geval tot geval moeten worden beoordeeld. Wilt u hierover advies, neem dan gerust contact met ons op.  

Wilt u zeker weten dat u aan de AVG voldoet, stap dan over op Europese aanbieders, die de verkregen data opslaan in de EU.