Enkele aandachtspunten voor werkgevers, sectorale inrichters en pensioenfondsen voor de toepassing van de GDPR
Op 25 mei 2016 trad de Algemene Verordening Gegevensbescherming (afgekort “AVG” - of de veelgebruikte Engelstalige afkorting “GDPR”) in werking. Na een overgangsperiode van 2 jaar worden deze nieuwe Europese regels ook in België van toepassing. In onze newsletter van 4 mei 2016 belichtten we de 10 punten die je als werkgever moet weten over de GDPR, gevolgd door meerdere newsflashes onder meer over een aantal belangrijke standpunten van de Privacycomissie en de Artikel 29-werkgroep omtrent de concrete implementatie. Voor de algemene kadering van de GDPR verwijzen we ook naar onze website (www.gdprbelgium.be).
In deze newsletter focussen we op enkele specifieke punten voor werkgevers en sectorale inrichters (hierna gezamenlijk “inrichters” genoemd) en pensioenfondsen (IBP’s) in het kader van de gegevensverwerking bij de uitvoering van aanvullende pensioenplannen.
Een aanvullend pensioenplan kan immers niet beheerd en uitgevoerd worden zonder dat de persoonsgegevens van de aangesloten (ex-)werknemers en hun begunstigden worden verwerkt. Denken we hierbij o.a. aan de berekening van de opgebouwde pensioenrechten, het opstellen van de jaarlijkse pensioenfiches, het uitbetalen van de pensioen- of overlijdenskapitalen of rentes,...
De GDPR is van toepassing op alle Europese ondernemingen, instellingen en organisaties en is dus geschreven in algemene termen, wat het niet altijd eenvoudig maakt om deze nieuwe regels toe te passen op de specifieke context van aanvullende pensioenplannen en pensioenfondsen. We kunnen hier immers niet spreken over een één-op-één relatie. Om te beginnen starten we binnen aanvullende pensioenen vanuit de drie-partijen-relatie tussen de inrichter, de pensioeninstelling (pensioenfonds of verzekeraar) en de aangeslotenen. Daarnaast zijn de betrokkenen in de zin van de GDPR niet alleen de aangesloten (ex-)werknemers die genieten van de pensioentoezegging, maar ook hun begunstigden. Ook al zijn deze laatsten derden bij de pensioentoezegging, toch worden ook hun gegevens verwerkt en zijn zij betrokkenen in de zin van de GDPR.
Bovendien wordt er niet van nul gestart. In de afgelopen jaren hebben inrichters en pensioenfondsen reeds tal van maatregelen opgezet in het kader van een veilige verwerking van persoonsgegevens. Het is van belang om dit zoveel mogelijk in rekening te brengen, en op die manier de bijkomende administratieve last voor pensioenfondsen en over-engineering te vermijden.
In deze newsletter gaan we in op een paar specifieke thema’s die een bijzondere relevantie hebben voor de toepassing van de GDPR in de context van aanvullende pensioenen. Hierbij zullen nog een aantal vragen open blijven en wordt best ook een gezamenlijk standpunt van de pensioensector afgewacht. We belichten ook kort welke documenten best even opnieuw onder de loep worden genomen om tijdig GDPR-proof te zijn.
Wij wensen u veel leesplezier!