Medezeggenschapsrecht Privacy & de OR (Deel II): Welke rol heeft de OR bij de implementatie van de AVG?
In deel I van de blog over privacy & de OR is Algemene Verordening Gegevensbescherming (AVG) op hoofdlijnen besproken. Daarbij hebben wij met name aandacht besteed aan de verantwoordingsplicht (accountability) en de nieuwe verplichtingen voor organisaties in het kader van de AVG. Wij concludeerden toen dat de AVG hoogstwaarschijnlijk zal leiden tot de aanpassing van bestaande en de invoering van nieuwe regelingen. Dit roept de vraag op of en zo ja, op welke wijze de OR hierbij zal moeten worden betrokken. In de AVG wordt de OR namelijk in het geheel niet genoemd. Dit betekent echter niet dat er voor de OR geen rol is weggelegd. Integendeel. In deze blog zullen wij dan ook de rol van de OR bij de implementatie van de AVG bespreken. Daarbij zal aandacht besteed worden aan enerzijds het informatie- en initiatiefrecht en anderzijds het advies- en instemmingsrecht.
Informatie- & initiatiefrecht
Het informatierecht zal met name relevant zijn als de AVG (nog) niet op de agenda van de ondernemer staat of de OR niet of nauwelijks bij de implementatie van de AVG betrokken is. In dat geval kan de OR de ondernemer vragen om informatie over de wijze waarop de AVG binnen de organisatie zal worden nageleefd. Op grond van het informatierecht is de ondernemer verplicht alle inlichtingen en gegevens aan de OR te verstrekken, die de OR redelijkerwijs nodig heeft voor zijn taakvervulling. Hiermee wordt gedoeld op de uitoefening van de wettelijke bevoegdheden van de OR. Daarbij kan het gaan om het advies- en/of instemmingsrecht, maar ook om het initiatiefrecht op grond waarvan de OR proactief voorstellen aan de ondernemer kan voorleggen. Het initiatiefrecht zou bijvoorbeeld gebruikt kunnen worden in het kader van een voorstel van de OR tot (vrijwillige) instelling van functionaris voor de gegevensbescherming.
Instemmingsrecht
In verband met beleidswijzigingen die moeten worden doorgevoerd op grond van de nieuwe verplichtingen uit de AVG, zal in ieder geval artikel 27 lid 1 sub k van de Wet op de ondernemingsraden (“WOR”) van toepassing zijn. Op grond van dit artikel heeft de OR namelijk instemmingsrecht ten aanzien van een voorgenomen besluit tot vaststelling, wijziging of intrekking van regelingen die zien op de verwerking en bescherming van persoonsgegevens van de in de onderneming werkzame personen.
In dit kader is wel relevant dat het instemmingsrecht op grond van sub k beperkt is als er enkel sprake is van de uitvoering van een wettelijke plicht. De OR heeft namelijk alleen een instemmingsrecht heeft voor zover de ondernemer beleidsvrijheid heeft bij de uitvoering van de wet. Ons inziens zal het instemmingsrecht in het licht van de implementatie van de AVG echter veelal aan de orde zijn. Werkgevers die beleid opstellen zullen in de meeste gevallen namelijk gebruik maken van deze beleidsvrijheid, als gevolg waarvan de besluitvorming instemmingsplichtig zal zijn. In ieder geval voor dat deel van de besluitvorming waarbij gebruik is gemaakt van de geboden beleidsvrijheid.
Daarnaast zou ook artikel 27 lid 1 sub l WOR van toepassing kunnen zijn. Op basis van sub l heeft de OR een instemmingsrecht met betrekking tot voorgenomen besluiten ten aanzien van regelingen die zien op zogenaamde digitale werknemervolgsystemen. Hieronder vallen bijvoorbeeld regelingen die zien op GPS- of camerasystemen. Aangezien door middel van deze systemen vaak ook persoonsgegevens worden verwerkt (denk aan iemands gezicht op camerabeelden), zal de implementatie van de AVG kunnen noodzaken tot het herzien of opstellen van dergelijke regelingen. Deze besluitvorming zal instemmingsplichtig zijn.
Adviesrecht van de OR
Ook het adviesrecht zou bij de implementatie van de AVG een rol kunnen spelen. Vanwege de nieuwe verplichtingen uit de AVG kan een ondernemer zich genoodzaakt voelen IT-systemen aan te passen of te vervangen. Een dergelijk besluit kan bijvoorbeeld worden ingegeven door de verplichting tot verbetering van de systeembeveiliging en/of tot het volgen van het beginsel van privacy door ontwerp en privacy door standaardinstellingen (privacy by design and privacy by default). De aanpassing of vervanging van een IT-systeem is mogelijk adviesplichtig op grond van artikel 25 lid 1 sub k WOR, dat ziet op een voorgenomen besluit met betrekking tot de invoering of wijziging van een belangrijke technologische voorziening. De kans dat de OR adviesrecht heeft achten wij echter klein, aangezien sub k alleen van toepassing is als de technologische voorziening een belangrijke verandering voor de onderneming en de werknemers tot gevolg heeft.
Mocht u naar aanleiding van het voorgaande vragen hebben over de rol van de OR in het kader van de AVG, dan wel medezeggenschapsrechtelijke kwesties in het algemeen, dan kunt u contact opnemen met Carola Meyer-de Swaan.