Bewaartermijnen in de AVG: hoe lang moet je persoonsgegevens bewaren?
Categorie: Privacyrecht
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf dat moment geldt in de gehele Europese Unie dezelfde privacywetgeving. De Wet Bescherming Persoonsgegevens (Wbp) geldt vanaf dat moment niet meer. Dit brengt dan ook de nodige veranderingen met zich mee. Bedrijven krijgen meer, dan wel andere verantwoordelijkheden en lopen het risico om bij niet-naleving van hun verplichtingen uit de AVG boetes opgelegd te krijgen tot 20 miljoen euro.
Bewaartermijnen
Onder de Wbp golden ook bewaartermijnen. Op het moment dat de AVG in werking treedt, zullen nagenoeg dezelfde regels voor het bewaren van persoonsgegevens als nu gelden, alsmede de termijnen die hiervoor gelden. Uitgangspunt blijft dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van de verwerking. Om een goede administratie bij te kunnen houden, moeten bedrijven en organisaties bepaalde persoonsgegevens gedurende een bepaalde tijd bewaren. Dat mag dus niet langer dan nodig is. In de Wbp staat geen concrete bewaartermijn voor persoonsgegevens. Bedrijven bepalen nu steeds zelf hoe lang zij de gegevens bewaren. Dat zal na inwerkingtreding van de AVG niet anders worden.
Wat moet u als verantwoordelijke onder de AVG regelen?
Indien een verantwoordelijke in aanraking komt met persoonsgegevens, zal hij van tevoren moeten bepalen hoe lang de persoonsgegevens bewaard blijven. Mocht hij dat niet van tevoren kunnen bepalen, dan moeten er in ieder geval criteria worden opgesteld waarmee kan worden vastgesteld wat dan wel de bewaartermijn is. Hiervoor moet dan een bewaarbeleid worden opgesteld. Deze bewaartermijnen dienen dan ook in het register van verwerkingen te worden opgenomen. Ook moet de betrokkene (de persoon van wie de gegevens worden verwerkt) worden geïnformeerd over de bewaartermijnen. Dit kan bijvoorbeeld via een privacyverklaring op de website van de verwerker.
In het geval dat de bewaartermijn van de persoonsgegevens is verstreken of de gegevens niet langer nodig zijn, zullen de gegevens moeten worden vernietigd. Zijn de persoonsgegevens bestemd voor historische, statistische of wetenschappelijke doeleinden, dan gelden er andere regels.
Hoe lang mogen gegevens worden bewaard van werknemers?
Voor sommige gegevens uit personeelsdossiers geldt dat er een fiscale bewaarplicht is. Werkgevers worden dan door de Belastingdienst verplicht om deze gegevens voor een bepaalde periode te bewaren. Het gaat dan bijvoorbeeld over loonbelastingverklaringen en kopieën van identiteitsbewijzen. Deze moeten door werkgevers tot vijf jaar worden bewaard na uitdiensttreding van de werknemer. Voor andere gegevens is de vuistregel een bewaartermijn van twee jaar na uitdiensttreding van de werknemer.
Hoe lang mag een potentiële werkgever de sollicitatiegegevens van een potentiële werknemer bewaren?
Wederom worden er geen concrete termijnen gegeven voor het bewaren van sollicitatiegegevens. Volgens de Autoriteit Persoonsgegevens is het gebruikelijk dat een organisatie sollicitatiegegevens uiterlijk vier weken na het einde van een sollicitatieprocedure verwijdert. Het kan voorkomen dat de potentiële werkgever de potentiële werknemer vraagt om toestemming te geven om de gegevens langer te bewaren. Bijvoorbeeld voor het geval dat er mogelijk later een passende functie voor de potentiële werknemer komt. Voor het bewaren van sollicitatiegegevens geldt als vuistregel een termijn van één jaar (na beëindiging van de sollicitatieprocedure).
Het bewaren van persoonsgegevens van klanten, moeten deze extra lang worden bewaard?
Voor klanten geldt ook het uitgangspunt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel van de verwerking. Deze hoeven dus niet langer te worden bewaard voor mogelijke toekomstige verzoeken.
Vraag over privacyrecht
Vraagt u zich af hoe lang u bepaalde gegevens moet of mag bewaren? Of heeft u andere vragen met betrekking tot de AVG? Dan kunt u terecht bij Blenheim advocaten. U kunt dan vragen naar één van de advocaten van de privacydesk.