De privacy van werknemers is een groot goed. De OR heeft niet voor niets instemmingsrecht op alle regelingen over het verwerken of beschermen van persoonsgegevens van werknemers. De OR doet er goed aan om zich te verdiepen in het beleid van de organisatie.
Een organisatie mag data niet eindeloos bewaren. Zo mag een werkgever sollicitatiegegevens van een werknemer na uitdiensttreding maar maximaal één jaar bewaren, terwijl voor de salarisadministratie een bewaartermijn van zeven jaar na uitdiensttreding geldt. Ook zijn werkgevers verplicht om goed om te gaan met data en dragers van data, zoals usb-sticks, harde schijven en smartphones. Om te voorkomen dat een datalek ontstaat en gegevens van werknemers op straat belanden, moeten werkgevers grondig te werk gaan. Het simpelweg deleten van gegevens na het verstrijken van de bewaartermijn volstaat niet.
Experts kunnen digitale informatie vaak nog achterhalen, ook als de data gedelete is of zelfs als de datadrager flink beschadigd is. Werkgevers kunnen zich dit risico niet veroorloven en doen er daarom goed aan om de informatie op een juiste manier te verwijderen. Daarvoor bestaan drie methoden:
Bij een regeling die het verwerken en/of beschermen van persoonsgegevens van de in de onderneming werkzame personen betreft, heeft de OR instemmingsrecht. Dat geldt ook voor een regeling voor voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen (artikel 27, lid 1 k en l van de Wet op de ondernemingsraden). Dit biedt de OR de mogelijkheid om invloed uit te oefen op de digitale veiligheid binnen de organisatie.