Newsflash GDPR: Bewaartermijnen

Geschreven door , Advocatenkantoor Claes & Engels, https://www.claeysengels.be/

Onder de Algemene Verordening Persoonsgegevens (‘AVG’ of ‘GDPR’) gelden dezelfde bewaartermijnen van persoonsgegevens als voorheen. Het uitgangspunt blijft dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor de doeleinden van de verwerking (de zgn. “opslagbeperking”). Hoe lang dit precies is, dient geval per geval beoordeeld te worden in functie van de verwerkingsactiviteit.

Overeenkomstig overweging 39 van de GDPR dienen ondernemingen termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk. Concreet houdt dit in dat ondernemingen voorafgaand aan de verwerking van de persoonsgegevens, in een retentiebeleid in kaart moeten brengen hoe lang de persoonsgegevens worden bewaard. Als dat niet mogelijk is, dienen in elk geval de criteria voor het vaststellen van de bewaartermijn te worden bepaald.

Volg op 3 oktober 2019 van 12 uur tot 14 uur het online seminar Privacy op de werkvloer met Isabel PLETS

Naast de tegemoetkoming aan het bovenstaand principe van de opslagbeperking, is het ontwikkelen van een retentiebeleid door de onderneming eveneens van belang omdat de beoogde bewaartermijnen - indien mogelijk - in het register van de verwerkingsactiviteiten moeten worden opgenomen.

Daarnaast moeten de betrokkenen conform de bepalingen van de GDPR ook worden geïnformeerd over de bewaartermijnen van hun gegevens, of indien dat niet mogelijk is, de criteria ter bepaling van die termijnen. Volgens richtlijnen van de European Data Protection Board moet dit gebeuren op zulk een manier dat de betrokkenen, op basis van hun eigen situatie, kunnen begrijpen hoe lang hun gegevens zullen worden bewaard. Zo is het niet voldoende om in algemene bewoordingen te vermelden dat de gegevens zullen worden bewaard “voor zolang als noodzakelijk voor de verwerkingsdoeleinden”. Waar pertinent dienen de verschillende bewaartermijnen (met inbegrip van de archiveringsperiodes) te worden vermeld voor de verschillende categorieën van persoonsgegevens en/of verschillende verwerkingsdoeleinden.

Doorgaans is het aanwezen om gegevens en documenten met betrekking tot werknemers te bewaren tijdens de tewerkstelling en gedurende een periode van vijf jaar volgend op het einde van de tewerkstelling. Deze algemene bewaringstermijn vindt zijn oorsprong in de burgerrechtelijke en strafrechtelijke verjaringstermijnen voor vorderingen gesteld in het kader van de arbeidsrelatie. Burgerrechtelijke vorderingen die voortvloeien uit de arbeidsovereenkomst tussen de werkgever en de werknemer verjaren vijf jaar na het feit waaruit de vordering is ontstaan, zonder dat deze termijn één jaar na het eindigen van deze overeenkomst mag overschrijden. Wanneer de schending van de regels van het arbeidsrecht evenwel een misdrijf uitmaakt (bv. niet-betaling van loon, vakantiegeld) kan voor deze burgerlijke vorderingen op grond van een misdrijf (“vordering ex delicto”) vijf jaar worden teruggegaan.

► Lees ook 6 maanden GDPR - 6 misverstanden

Afhankelijk van de verwerkingsactiviteit kunnen er echter specifieke bewaartermijnen van toepassing zijn. Voor persoonsgegevens die pertinent zijn in het kader van aanspraken op een wettelijk en/of aanvullend pensioen is het bijvoorbeeld aangewezen om deze te bewaren tot de wettelijke pensioenleeftijd verlengd met één jaar. De bewaartermijn van camerabeelden kan maximaal één maand zijn, tenzij de beelden een bijdrage kunnen leveren tot het bewijzen van een misdrijf, van schade of van overlast, of tot het identificeren van een dader, een verstoorder van de openbare orde, een getuige of een slachtoffer.

De onderneming die persoonsgegevens verwerkt voor algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden mag deze langer bewaren dan noodzakelijk is voor het oorspronkelijk verwerkingsdoeleinde. In voorkomend geval, moeten wel de passende technische en organisatorische maatregelen worden genomen om de privacy van de werknemer te waarborgen (bv. anonimisering).

Actiepunt

Indien u nog niet over een retentiebeleid beschikt binnen uw onderneming, dan brengt u hier best zo snel mogelijk verandering in zodat u GDPR-compliant bent. Ons data protection team kan u steeds bijstaan bij het bepalen van concrete bewaartermijnen voor alle gegevens en documenten die binnen uw onderneming worden verwerkt rekening houdend met (i) de eventuele wettelijke minimale of maximale bewaartermijn, indien die er is, (ii) de burgerrechtelijke en strafrechtelijke verjaringstermijnen en (iii) de verwerkingsdoeleinden.