Een bestuurder kan niet om de ondernemingsraad (OR) heen als hij een regeling die betrekking heeft op de privacy van werknemers wil invoeren, wijzigen of intrekken. Volgens de Wet op de ondernemingsraden (WOR) heeft de OR namelijk onder meer instemmingsrecht bij regelingen die te maken hebben met het verwerken en beschermen van persoonsgegevens van alle personen die in de organisatie werkzaam zijn.
Een werkgever ontkomt er niet aan om bepaalde personeelsgegevens te registreren. Denk bijvoorbeeld aan personeelsdossiers, personeelvolgsystemen en de ziekteverzuimregistratie. Het verwerken en beschermen van persoonsgegevens is echter aan strenge regels gebonden. Hoe de werkgever om moet gaan met persoonsgegevens is vastgelegd in de Algemene verordening persoonsgegevens (AVG). De Autoriteit Persoonsgegevens (AP) is het orgaan dat toezicht houdt op een goede naleving van de AVG. De AP geeft advies en helpt de OR een handje.
Waar het gaat om de verwerking en bescherming van persoonsgegevens, moet de werkgever speciale aandacht schenken aan medische gegevens. Alleen als de werknemer nadrukkelijk toestemming geeft, mag medische informatie worden uitgewisseld tussen werkgever, bedrijfsarts (die een medisch beroepsgeheim heeft), arbodienst en verzekeringsmaatschappij. Privacygevoelige informatie die de werknemer vrijwillig geeft, zoals de aard van de ziekte, behandeling en medicatie, mag de werkgever niet zomaar (laten) vastleggen. Deze strenge regels gelden ook voor persoonsgegevens zoals godsdienst, culturele achtergrond en seksuele voorkeur.
De wetgever hecht veel belang aan de bescherming van privacy. Een ondernemingsraad heeft volgens artikel 27, lid 1k WOR dan ook instemmingsrecht op elke regeling die te maken heeft met het verwerken en beschermen van persoonsgegevens van werknemers. Een OR doet er goed aan om bij de bestuurder na te gaan of het privacybeleid van de organisatie voldoet aan de AVG en of ook de uitvoering van het beleid voldoet aan de regels.