[gastartikel]
Volgens de Europese Algemene Verordening Gegevensbescherming (de ‘AVG’ of ‘GDPR’) mag een werkgever de persoonsgegevens van zijn werknemers niet langer bewaren dan nodig is. De werkgever moet daarom termijnen vaststellen voor het wissen van dergelijke gegevens of voor de periodieke evaluatie ervan.
Hoe worden deze termijnen bepaald?
Soms heeft de wetgever zelf een verplichte bewaartermijn vastgelegd, die aldus een minimumtermijn is, bijvoorbeeld voor de sociale documenten bedoeld in de Koninklijke Besluiten van 23 oktober 1978 en 8 augustus 1980, zoals de individuele rekening of het personeelsregister.
Over het algemeen wordt echter aanbevolen om gegevens en documenten betreffende werknemers te bewaren voor de duur van hun tewerkstelling én gedurende een periode van vijf jaar na het einde van de arbeidsovereenkomst. Deze bewaringstermijn kan gerechtvaardigd worden door de burgerrechtelijke en strafrechtelijke verjaringstermijnen voor vorderingen die in het kader van een arbeidsrelatie worden ingesteld.
Volgens artikel 15 van de Arbeidsovereenkomstenwet van 3 juli 1978 verjaren burgerrechtelijke vorderingen die voortvloeien uit de arbeidsovereenkomst immers vijf jaar na het feit dat tot de vordering aanleiding heeft gegeven, zonder dat deze termijn langer kan zijn dan één jaar na de beëindiging van de overeenkomst. Maar indien de overtreding van de regels van het arbeidsrecht (ook) een misdrijf vormt (bijvoorbeeld de niet-betaling van loon zoals bedoeld in artikel 162 van het Sociaal Strafwetboek), kan men voor dergelijke burgerrechtelijke vorderingen die op een misdrijf gebaseerd zijn, overeenkomstig artikel 2262bis van het Oud Burgerlijk Wetboek tot vijf jaar terug gaan.
Opgelet: er kunnen kortere of langere termijnen gelden!
In sommige gevallen kunnen gegevens langer worden bewaard, bijvoorbeeld gegevens betreffende het wettelijk en/of aanvullend pensioen, of, omgekeerd, gedurende een kortere periode, bijvoorbeeld de opnames van bewakingscamera’s waarvoor de wet van 21 maart 2007 bepaalt dat zij niet langer dan een maand mogen worden bewaard indien zij niet kunnen bijdragen tot het bewijs van een misdrijf, van schade of van overlast.
Bestaan er hier ‘benchmarks’ voor?
Neen, in tegenstelling tot haar Franse tegenhanger, de CNIL, heeft de Belgische Gegevensbeschermingsautoriteit (GBA) (nog?) geen dergelijk referentiekader vastgelegd dat een werkgever zou kunnen helpen om de verwerkingen in overeenstemming te brengen met de AVG.
Het is niettemin wel mogelijk om de beslissingen van de GBA aandachtig na te lezen, zoals de beslissing van 29 september 2020 waarin de GBA oordeelde dat het professionele e-mailadres van een werknemer in principe niet langer dan 3 maanden na het vertrek actief mag blijven.
Deze beslissingen zijn beschikbaar op de website.
Hoe gaat u te werk?
Voor zover dit nog niet gebeurd zou zijn, moet een werkgever een lijst opstellen van de verschillende verwerkingsactiviteiten met de overeenkomstige bewaartermijnen. Deze bewaartermijnen moeten dan op zijn minst ook worden opgenomen in het register van verwerkingsactiviteiten dat elke werkgever in beginsel moet bijhouden overeenkomstig artikel 30 van de AVG.
Over de auteurs
Nicolas Roland en Jannes Vanovervelt, Advocaten bij Younity
