De laatste tijd krijgt AWVN geregeld vragen over loonbeslag van werkgevers. Als werkgever bent u verplicht aan het loonbeslag mee te werken. Hoe gaat u dan om met de verwerking van persoonsgegevens? En als u meer wilt doen dan alleen het beslag uitvoeren, bijvoorbeeld ook hulp bieden?
Toepasselijke wet- en regelgeving
Verwerking van persoonsgegevens dient altijd gebaseerd te zijn op een van de verwerkingsgrondslagen uit de Algemene Verordening Gegevensbescherming (AVG). Persoonsgegevens mogen enkel worden verwerkt voor het doel waarvoor de persoonsgegevens zijn verzameld. Verwerking mag nooit verder geen dan noodzakelijk is voor het doel van de verwerking.
De mogelijke verwerkingsgrondslagen zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, beschermen vitale belangen, vervulling taak van algemeen belang of openbaar gezag, dan wel op grond van zwaarwegende belangen.
Loonbeslag
Iedere ondernemer dient de administratie, waaronder de loonadministratie, zeven jaar te bewaren (fiscale bewaarplicht). Dit brengt met zich dat afdrachten en loonspecificaties met betrekking tot het loonbeslag onder de fiscale bewaarplicht vallen. Het is verstandig om ook daarmee samenhangende documenten, zoals het beslagexploot, te bewaren. Daarmee kan de handelswijze met betrekking tot het loonbeslag worden gelegitimeerd. Voor laatstgenoemd document is echter niet het voldoen aan een wettelijke plicht (fiscale bewaarplicht) de AVG-grondslag, maar het voldoen aan een contractuele verplichting of gerechtvaardigd organisatiebelang. Ook na afloop van een beslag en inhoudingen en afbetalingen kan er immers nog discussie ontstaan over de juiste afhandeling. En ook kan bij een eventuele herhaling het vanuit een zorgplicht van belang zijn dat de werkgever weet heeft van een eerdere situatie. De bewaartermijn zou dan op vijf jaar gesteld kunnen worden (de verjaringstermijn voor loonvorderingen bedraagt vijf jaar).
Het bewaren van overige documenten, zoals e-mails, gespreksverslagen etc. valt evenmin niet onder de fiscale bewaarplicht. Zoals gezegd, de verwerkingsgrondslag ’uitvoeren arbeidsovereenkomst’ (vanuit de zorgplicht van de werkgever) ligt voor de hand, en anders ’organisatiebelang’. Indien een van deze grondslagen niet te onderbouwen is, is het kennelijk niet meer noodzakelijk om deze gegevens te bewaren. In dat geval moeten de gegevens worden verwijderd. De grondslag ‘individuele toestemming’ is zelden toepasbaar in arbeidsverhoudingen.
Toepasselijke wet- en regelgeving
Persoonsgegevens mogen niet langer worden bewaard dan voor het doel van de gegevensverwerking noodzakelijk is. De AVG kent geen concrete bewaartermijnen voor persoonsgegevens. De Autoriteit Persoonsgegevens (AP) geeft als norm dat organisaties zelf bepalen hoelang zij persoonsgegevens bewaren. Concrete wettelijke bewaartermijnen moeten in acht worden genomen. Wanneer er geen specifieke bewaartermijnen voorgeschreven zijn, geeft de AP als richtlijn een maximale bewaartermijn van twee jaar na einddatum van het dienstverband.
Loonbeslag
Iedere ondernemer dient de administratie, waaronder de loonadministratie, zeven jaar te bewaren (fiscale bewaarplicht). Dit brengt met zich dat afdrachten en loonspecificaties met betrekking tot het loonbeslag onder de fiscale bewaarplicht vallen. Het is verstandig om ook daarmee samenhangende documenten, zoals het beslagexploot, te bewaren. Daarmee kan de handelswijze met betrekking tot het loonbeslag worden gelegitimeerd.
Het bewaren van overige documenten, zoals e-mails, gespreksverslagen etc. valt niet onder de fiscale bewaarplicht. De verwerkingsgrondslag ’uitvoeren arbeidsovereenkomst’ (vanuit de zorgplicht van de werkgever) ligt voor de hand, en anders ’organisatiebelang’. Indien een van deze grondslagen niet te onderbouwen is, is het kennelijk niet meer noodzakelijk om deze gegevens te bewaren. In dat geval moeten de gegevens worden verwijderd. De grondslag ‘individuele toestemming’ is zelden toepasbaar in arbeidsverhoudingen.
Persoonsgegevens moeten altijd zorgvuldig worden verwerkt. Gelet op de gevoeligheid van loonbeslaggegevens, verdient dit in het bijzonder aandacht. Zorg dat de persoonsgegevens alleen zichtbaar zijn voor werknemers die op basis van hun functie kennis van de gegevens moeten hebben. Dit vereist toepassing van de juiste technische en organisatorische maatregelen om de gegevens te beveiligen. Concreet: maak de gegevens alleen op een centrale plaats beperkt toegankelijk en verstuur geen documenten intern per e-mail.
De verwerking van persoonsgegevens moet zijn vastgelegd in een privacyverklaring. Vaak zal de verwerking vallen onder de salarisadministratie. Dit verwerkingsdoel is normaliter al in de privacyverklaring opgenomen. Neem, indien van toepassing, de verwerking eveneens op in het verwerkingsregister.
Eventueel kan op grond van het voorgaande algemeen beleid worden opgesteld over de werkwijze binnen de onderneming bij loonbeslag.