Het Europese Hof van Justitie bepaalde onlangs dat Europese burgers het recht hebben om te weten met welke partijen een organisatie persoonlijke gegevens deelt. Dit is voor de OR een goede aanleiding om bij de bestuurder navraag te doen naar de gegevensverwerking binnen de organisatie. De organisatie moet immers zorgvuldig omgaan met (klant)gegevens en aan een informatieverzoek kunnen voldoen.
Het Europese Hof van Justitie deed op 12 januari 2023 uitspraak in een zaak over het delen van klantgegevens met derde partijen, waarvoor het Oberster Gerichtshof van Oostenrijk bij het Hof had aangeklopt voor advies. De mededeling dat persoonlijke gegevens “voor marketingdoeleinden” met derden werden gedeeld, was volgens het Europese Hof niet voldoende. Burgers hebben het recht om te weten met welke partijen hun klantgegevens worden gedeeld, oordeelde het Hof.
Volgens de Algemene verordening persoonsgegevens (AVG) moet de bestuurder ervoor zorgen dat de persoonlijke gegevens van werknemers en van alle relaties van de organisatie goed beschermd zijn. Als de digitale veiligheid niet in orde is, is het voor cybercriminelen immers een koud kunstje om toegang te krijgen tot vertrouwelijke gegevens, met alle gevolgen van dien. De praktijk wijst echter uit dat organisaties ook zelf niet altijd weten welke gegevens zij precies met andere partijen delen of hoe de gegevens worden verwerkt. De OR doet er verstandig aan om bij de bestuurder na te vragen hoe de gegevensstromen in de organisatie lopen, met welke derde partijen bepaalde gegevens worden gedeeld en waarom. De OR heeft namelijk ook iets in te brengen bij het privacybeleid en kan er bij de bestuurder op aandringen dat hij werk maakt van een goede gegevensbescherming en het inzicht in de datastromen binnen en buiten de organisatie.
De OR heeft instemmingsrecht bij regelingen die betrekking hebben op het verwerken en beschermen van de persoonsgegevens van de in de onderneming werkzame personen (artikel 27, lid 1k WOR). Op die manier kan de OR zijn stempel drukken op het privacybeleid in de organisatie. De OR hoeft uiteraard niet af te wachten tot de bestuurder met een instemmingsverzoek komt, maar kan ook zelf controleren of het privacybeleid aan alle eisen voldoet (toolbox).
Ziet de OR in het huidige privacybeleid mogelijkheden tot verbetering, dan kan de OR een concreet advies indienen bij de bestuurder (initiatiefrecht, artikel 23, lid 3 WOR). Heeft de organisatie bijvoorbeeld al een functionaris gegevensbescherming (FG) aangesteld en weet iedereen in de organisatie hoe hij moet handelen bij een datalek? De bestuurder doet er verstandig aan om een protocol op te stellen en hierover duidelijk te communiceren aan werknemers, zodat iedereen weet wat hij moet doen én laten bij een datalek.