Privacyreglement Vooraf ROC Flevoland verzamelt, verwerkt en bewaart personeels- en salarisgegevens om te komen tot een goede en adequate bedrijfsvoering. Uitgangspunt hierbij is de Wet Bescherming Persoonsgegevens (WBP). De WBP kent voor het verwerken van de persoonsgegevens de volgende zes grondslagen: 1. Ondubbelzinnige toestemming van betrokkene. 2. Verwerking die noodzakelijk is voor de uitvoering van een overeenkomst. 3. Verwerking noodzakelijk voor het uitvoeren van een wettelijke plicht. 4. Verwerking is voor vitaal belang van betrokkene noodzakelijk (dringende medische noodzaak). Vooraf toestemming is altijd aan te bevelen. 5. Verwerking is noodzakelijk voor een goede en adequate bedrijfsvoering (publiekrechtelijke taak). 6. Het is toegestaan om persoonsgegevens te verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van de organisatie (verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren. Voor de opgenomen informatie, waarbij het van belang is dat betrokkene zich steeds afvraagt of het verwerken van de persoonsgegevens noodzakelijk is voor het doel waarvoor de gegevensverwerking is bedoeld, geldt dat deze: niet bovenmatig mag zijn toereikend moet zijn ter zake dienende moet zijn juist en nauwkeurig moet zijn Toepassing van dit reglement Dit reglement is uitsluitend gericht op de bescherming van persoongegevens in de personeelsadministratie. 1. Algemene bepalingen a. Persoonsgegevens: gegevens die herleidbaar zijn tot een individueel natuurlijk persoon; b. Persoonregistratie: een samenhangende verzameling van op verschillende personen betrekking hebbende gegevens; c. De “verantwoordelijke” voor de persoonsregistratie: degene die de zeggenschap heeft over de persoonsregistratie en juridisch verantwoordelijk is voor de naleving van de bepalingen van het reglement, hier het College van Bestuur; d. De “geregistreerde”: degene over wie persoonsgegevens in de persoonsregistratie zijn opgenomen; e. De “intern beheerder”: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de dagelijkse zorg voor een persoonsregistratie of een gedeelte daarvan, hier is dat hoofd FEZ. Uitzondering hierop is de registratie ziekteverzuim en informatie over psychologische test en assessment. Voor deze laatste drie is hoofd HRM de intern beheerder; f. De “bewerker”: degene die onder verantwoordelijkheid van de intern beheerder belast is met de dagelijkse zorg voor de registratie en de bewerking van de gegevens, hier de medewerkers PSA. Uitzondering hierop is de registratie en bewerking van gegevens over ziekteverzuim, psychologische test en assessment. Voor deze laatste drie zijn de medewerkers HRM de bewerker; g. De “gebruiker”: degene die onder verantwoordelijkheid van de intern beheerder de persoonsregistratie kan Privacyreglement - ROCF.doc
1 van 6
raadplegen. Bij ROCF zijn de gebruikers: de leidinggevende van geregistreerde, de medewerkers HRM en medewerkers PSA. 2. Reikwijdte van de personeelsadministratie a. Werking van de persoonsregistratie Het kunnen beschikken over gegevens die nodig zijn voor de uitvoering van de taken voor goed personeelsbeheer (bedrijfsvoering); b. De verantwoordelijke zal niet meer gegevens in de registratie laten opnemen dan voor onder a bedoelde taken noodzakelijk is. 3. Werking van de persoonsregistratie a. De verantwoordelijke is verantwoordelijk voor het goed functioneren van de persoonsregistratie; b. De verantwoordelijke verplicht betrokken medewerkers dit reglement na te leven. De taken, rechten en verplichtingen van de bewerker zijn in dit reglement door de verantwoordelijke schriftelijk vastgelegd; c. De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens en draagt zorg voor de nodige voorzieningen ter beveiliging van de persoonsgegevens tegen verlies of aantasting van de gegevens tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Gelijke plicht rust op de intern beheerder en de bewerker voor het geheel of het gedeelte van de faciliteiten die hij onder zich heeft. 4. Kennisgeving a. De verantwoordelijke zal met een algemene kennisgeving het bestaan van de registratie(s) en van dit reglement vermelden, alsmede daarin aangeven op welke wijze de gegevens en het reglement kan worden ingezien en verkregen en nadere informatie hierover kan worden ingewonnen; b. Indien andere doeleinden dan in artikel 2.a genoemde doelstelling van de registratie(s), heeft de verantwoordelijke de plicht de geregistreerde vooraf gericht te informeren over de aard van de gegevens die over zijn persoon in de registratie worden opgenomen, alsmede over de doeleinden die daarmee worden nagestreefd. 5. Verzamelen van gegevens De geregistreerde wordt bij indiensttreding om gegevens gevraagd en op de hoogte gesteld van het privacyreglement. 6. Correctie, aanvulling, afscherming of verwijdering van opgenomen gegevens a. De geregistreerde kan verzoeken om verbetering, aanvulling of verwijdering van de op hem/haar betrekking hebbende gegevens in het personeelsdossier. Dit kan als de gegevens in de registratie feitelijk onjuist, voor het doel van de registratie onvolledig of niet ter zake dienende zijn, dan wel in strijd met een wettelijk voorschrift. Het verzoek dient schriftelijk en gemotiveerd aan de intern beheerder te worden gericht. Indien daartoe aanleiding bestaat beslist de intern beheerder na degene die de gegevens heeft verzameld of diens opvolger gehoord te hebben. b. De geregistreerde kan de intern beheerder schriftelijk verzoeken om verwijdering of afscherming van tot zijn/haar persoon herleidbare gegevens op overzichtlijsten. De intern beheerder deelt zijn beslissing binnen vier weken na ontvangst van het verzoek, als genoemd in art. 6 a/b, schriftelijk aan de geregistreerde mee. Een per e-mail verzonden antwoord is ook schriftelijk. Een weigering wordt met redenen omkleed. De intern beheerder zorgt ervoor dat een beslissing tot verbetering of aanvulling, dan wel tot afscherming of verwijdering, binnen 2 maanden na een verzoek van de geregistreerde wordt uitgevoerd, tenzij redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de geregistreerde, alsmede voor zover bewaring op grond van een wettelijk voorschrift vereist is. 7. Verstrekken van gegevens Gegevens over geregistreerde mogen alleen worden verstrekt als de geregistreerde hiervoor schriftelijk toestemming heeft verleend. Hieronder vallen het publiceren van persoonsgegevens op intranet en het verstrekken van gegevens aan in- en externe instanties. Op bovenstaande zijn uitzonderingen, zo mogen gegevens o.a. verstrekt worden aan: De hieronder genoemde personen, voor zover voor hun taakuitoefening noodzakelijk: - De verantwoordelijke: over de gehele organisatie; - Sector directeuren: over de eigen sector; Privacyreglement - ROCF.doc
2 van 6
-
De afdelingsmanager of het afdelingshoofd: met betrekking tot hun afdeling(en); De (direct) leidinggevende van de geregistreerde; Secretarieel medewerkers en de medewerkers van de afdeling Marketing en Communicatie: uitsluitend voor het uitdraaien van adresstickers voor een mailing zonder marketingdoel. Externe organisaties indien noodzakelijk ingevolge wettelijke verplichtingen, zoals: - De actuele zorgverlening aan de geregistreerde (bijv. Arbo-dienst); - Uitvoering van Sociale Verzekeringswetten (bijv. ABP / UWV); - Wettelijke verplichtingen (bijv. Derden Beslag).
8. Toegang tot persoonsgegevens De intern beheerder en de bewerker hebben toegang tot de persoonsgegevens, voor zover dit noodzakelijk is voor personeelsbeheer, voor het bewerken - en het registreren van persoonsgegevens. De verantwoordelijke heeft als zodanig geen toegang tot de geregistreerde persoonsgegevens, tenzij dit noodzakelijk is in verband met zijn eindverantwoordelijkheid. De gebruiker heeft uitsluitend inzagerecht. Een ieder die voor het uitoefenen van zijn/haar functie toegang heeft tot persoonsgegevens is gehouden aan geheimhoudingsplicht over de informatie waartoe zij toegang hebben. 9. Inzage in opgenomen gegevens De geregistreerde heeft het recht om kennis te nemen van de op zijn persoon betrekking hebbende geregistreerde gegevens. Hij dient daartoe een schriftelijk verzoek in bij de intern beheerder. Zodra een werknemer een verzoek heeft gedaan om inzage in zijn/haar personeelsdossier te krijgen, moet deze inzage binnen één maand hebben plaatsgevonden. Of de werknemer moet schriftelijk, met redenen omkleed, een afwijzing van het verzoek hebben gekregen. Een weigeringgrond voor inzage en afschrift kan zijn gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen. Verder geldt dat: Een dossier slechts in uitzonderlijke gevallen de afdeling PSA af mag, bijvoorbeeld op verzoek van de verantwoordelijke of HRM adviseur; De werknemer op de afdeling PSA zijn/haar personeelsdossier kan inzien in het bijzijn van de medewerker PSA. De werknemer is nooit alleen met zijn/haar dossier!; Op verzoek van de werknemer kunnen delen van het dossier gekopieerd worden. Dit kopiëren wordt door de medewerker PSA gedaan. 10. Bewaartermijnen Met inachtneming van eventuele wettelijke voorschriften zijn de hieronder staande bewaartermijnen vastgesteld: a. Personeelsdossiers hebben een bewaar termijn van maximaal vijf jaar na beëindiging van de arbeidsovereenkomst, tenzij anders is overeengekomen. Hieronder vallen naast de personeelsdossiers ook identiteitsbewijzen en loonbelastingverklaringen. De eerste twee jaar van de bewaartermijn dienen de dossiers en overige gegevens onder handbereik van de personeelsen salarisadministratie bewaard te worden. Na die termijn kunnen deze gegevens extern bewaard worden. b. Testresultaten voortvloeiend uit psychologische tests of assessments worden maximaal één jaar bewaard, in een afgesloten ruimte op de afdeling HRM. Deze zijn uitsluitend door de adviseur HRM in te zien. Het is de adviseur HRM toegestaan de direct leidinggevende te adviseren op basis van de inhoud van de test of met betrekking tot de uitkomst van een assessment voorzover dit voor de functie van betrokkene van belang is. Indien de bewaartermijn is verstreken, wordt de test of het assessment verwijderd en vernietigd, zulks binnen een termijn van één jaar. Vernietiging blijft evenwel achterwege wanneer redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de geregistreerde, alsmede indien daarover tussen de geregistreerde en de werkgever overeenstemming bestaat; c. Indien de betreffende gegevens zodanig zijn bewerkt dat herleiding tot individuele personen redelijkerwijs onmogelijk is, mogen deze in geanonimiseerde vorm bewaard blijven. 11. Klachten Onverminderd de wettelijke bepalingen over bezwaar en beroep kan de geregistreerde, indien de intern beheerder, de bewerker of ieder ander die conform dit reglement rechten heeft tot persoonsgegevens één van de verplichtingen uit dit reglement niet nakomt dan wel onzorgvuldig handelt met betrekking tot verplichtingen die uit algemeen beginsel van privacybescherming voortvloeien, zich met een klacht schriftelijk wenden tot de verantwoordelijke. Als dit niet leidt tot een Privacyreglement - ROCF.doc
3 van 6
voor de geregistreerde bevredigende oplossing kan deze een verzoek tot rechtsbescherming indienen bij het College Bescherming Persoonsgegevens (CBP) Postbus 93374, 2509 AJ Den Haag. Tel.nr. 070 3811300. Het CBP kan bemiddelen bij geschillen over inzage en correctie tussen werkgever en werknemer. 12. Beveiliging De gegevens worden bewaard in een afgesloten ruimte in afgesloten kasten of aangewezen archief ruimte. Geautomatiseerde gegevensverwerking wordt afgeschermd door het toekennen van autorisatie en een password. 13. Overige bepalingen De zogenaamde “bijzondere persoonsgegevens” mogen in principe niet worden opgenomen in de personeelsadministratie: - Godsdienst of levensovertuiging; - Ras, tenzij voor identificatie doeleinden of in het kader van voorkeursbeleid. (Betrokkene moet hiermee schriftelijk akkoord gaan); - Politieke gezindheid; - Gezondheid (uitzondering: informatie over voor de werkgever werkrelevante zaken mogen met de Arbo-dienst besproken /verwerkt worden); - Seksuele geaardheid; - Lidmaatschap van een vakvereniging. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over handelingen waarvoor een verbod is opgelegd. De werkgever is wettelijk verplicht een “verklaring omtrent het gedrag” op te nemen in het personeelsdossier (WEB / Cao-Bve). Uitzondering op bovenstaande Als betrokkene zelf de informatie openbaar heeft gemaakt, mag worden aangenomen dat deze toestemming tot gebruik geeft. Denk bijv. aan het verspreiden van visitekaartjes, adverteren in de media of het naar buiten treden met geaardheid, godsdienst of politieke keuze. Verstrekken van informatie aan externen Aan externen wordt geen informatie over personeel of personeelsgegevens verstrekt tenzij: - dit voortvloeit uit het doel van de registratie; - wordt vereist ingevolge een wettelijk voorschrift of op verzoek van een wettelijk daartoe gerechtigde instantie; - met schriftelijke toestemming van geregistreerde en dan uitsluitend na een schriftelijk verzoek daartoe. Cumulatief moet worden voldaan aan de volgende voorwaarden: 1. er moet een gerichte aanvraag zijn; 2. er moet een dringende reden zijn; 3. de dringende reden moet van voldoende gewicht zijn; 4. de beoogde verstrekking mag geen onevenredige schade toebrengen aan de persoonlijke levenssfeer van de geregistreerde. Looptijd Onverminderd eventuele wettelijke bepalingen is dit reglement van kracht gedurende de gehele looptijd van de registraties. Wijziging van het reglement In gevallen waar dit reglement niet voorziet beslist de verantwoordelijke. Inwerkingtreding Dit reglement is per …………………… in werking getreden en op intranet gepubliceerd.
Privacyreglement - ROCF.doc
4 van 6
Overzicht Kwaliteitsgegevens Bijlage 1: Voor de uitvoering van de diverse werkprocessen worden door de bewerker dossiers aangelegd en wordt archief bijgehouden. Ter ondersteuning hiervan wordt gewerkt met geautomatiseerde systemen. Er zijn archieven voor: a. Personeelsdossier b. Salarisadministratie c. Personeelsinformatiesysteem De gegevens die zijn opgeslagen in de geautomatiseerde systemen zijn in de vorm van databestanden ook als archief te beschouwen. Personeelsdossier: Het personeelsdossier bevat alle informatie verbandhoudende met het contract dat de werknemer is aangegaan met de Stichting ROC Flevoland. e
e
Binnenkant kaft als 1 (op 1 tabblad): - Pasfoto - Overzicht wat is besproken in arbeidsvoorwaardengesprek - Puntenlijst: wat te doen bij beëindiging dienstverband Tab 1 (beheer PSA) Diverse Correspondentie Adreswijzigingen Telefoonwijzigingen Werkgeversverklaringen Corr. Leidinggevende
Tab 2 (beheer PSA) Aovk + ahs Arb. overeenkomst Aanhangsel op akte Akkoord Mob.cie Onmisbaarheidsverklaring Kopie blauwtje Org. witje Aanstellingsbrief
Tab 3 (beheer PSA) Interne regelingen Bapo regeling Ouderschapsverlof bet. & onbet. Andere verloven PC privé regeling Scholingsregeling Scholing, diploma's, certificaten etc. Kinderopvangregeling ZVO regeling Onderhandelde rk regeling VAA regeling Levensloopregeling Onderstaande documenten vallen onder beheer van PSA, maar worden in aparte mappen, dus los van het personeelsdossier opgeborgen: ZKOO formulieren spaarloon regeling Taakformulieren bij leidinggevende Privacyreglement - ROCF.doc
5 van 6
Salarismutaties in salarisadministratie PC privé AAV
Tab 4 (beheer PSA) In diensttreden Informatiestaat personeel (Sofi-nr. + stamnummer) Verklaring omtrent het gedrag (aanvragen bij de afdeling bevolking) Declaratieformulier legeskosten (ivm uitbetaling) Berekening nominaal jaarloon Opgave diensttijd + bewijzen hiervan Opgave nevenbetrekkingen Registratie gehandicapte werknemers Kopie ziektekostenpolis c.q. ziekenfondspasje Loonbelastingverklaring Een geneeskundige verklaring (indien van toepassing) Waardeoverdracht ABP Keuze bijsparen FPU/ ABP extra pensioen Aanmeldingsformulier IP Aanvullings Plan (Loyalis) Aanmeldingsformulier PartnerPlusPensioen Afschrift laatste salaris-/uitkeringsspecificatie (indien mogelijk) Kopie van een geldig identiteitsbewijs, bijv. paspoort (geen rijbewijs) Relevante diploma's Schoolpas
Tab 5 (beheer PSA) Tijdelijke bestanden
Tab 6 (beheer PSA) Funct. gesprekken/POP Verslaglegging functioneringsgesprekken/POP’s Tab 7 (beheer HRM) Dossiervorming bij disfunctioneren en/of disciplinaire maatregelen Gespreksverslagen, brieven, beschikkingen en overige correspondentie Tab 8 (beheer HRM) Ziekteregistratie * Correspondentie UWV * Formulieren UWV * Ziekteregistratie * Zwanger- en bevallingsverlof - geboortekaartjes - correspondentie
Tab 9 (beheer HRM) Tijdelijke bestanden
Tab 10 (beheer HRM)
Privacyreglement - ROCF.doc
6 van 6