Wat is de bewaartermijn voor HR-gegevens wanneer er geen wettelijke regeling is? Het referentiekader van de CNIL als nuttig richtsnoer.

De GDPR verplicht werkgevers om persoonsgegevens te bewaren gedurende een periode die evenredig is met het nagestreefde doel. Bepaalde bewaartermijnen zijn uitdrukkelijk wettelijk vastgelegd, maar voor verschillende HR-gegevens bestaat geen specifieke wettelijke bewaartermijn. In die context heeft de Franse gegevensbeschermingsautoriteit, la commission nationale de l’informatique et des libertés (CNIL), een referentiekader gepubliceerd dat specifiek betrekking heeft op de bewaartermijnen van persoonsgegevens in het kader van personeelsbeheer. Hoewel dit referentiekader is gebaseerd op Frans recht, bevat het nuttige aanbevelingen die als richtsnoer kunnen dienen voor Belgische werkgevers, in het bijzonder wanneer geen wettelijke bewaartermijnen van toepassing zijn.

Een operationeel kader gebaseerd op het beginsel van opslagbeperking

Het referentiekader van de CNIL omvat de belangrijkste HR-activiteiten en formuleert voor elke categorie van persoonsgegevens een indicatieve bewaartermijn. Daarbij wordt doorgaans een onderscheid gemaakt tussen twee fasen:

• een fase van bewaring in de actieve databank, strikt beperkt tot de duur die noodzakelijk is voor het doel van de verwerking. Gedurende deze periode zijn de gegevens rechtstreeks toegankelijk voor de HR-diensten in het kader van het dagelijks beheer;
• in voorkomend geval, een fase van tussentijdse archivering, met een beperkte toegang voor specifiek gemachtigde personen, voor gegevens die een administratief of bewijsrechtelijk belang behouden (met name met het oog op de verdediging van de werkgever in een eventueel geschil) of die moeten worden bewaard om te voldoen aan een wettelijke verplichting.

Dit kader is in de eerste plaats praktisch van aard en heeft tot doel de concrete toepassing te vergemakkelijken van het in de GDPR verankerde beginsel van opslagbeperking.

Wanneer in België een bewaartermijn expliciet door de wet is vastgelegd, heeft deze uiteraard voorrang. Dat is onder meer het geval voor:

• fiscale documenten (zoals de fiscale fiche: sinds kort 10 jaar in plaats van 7 jaar);
• RSZ‑documenten (bijv. DMFA: 5 jaar; Dimona: 6 maanden vanaf ontvangst);
• arbeidsongevallenfiches (10 jaar);
• camerabeelden (maximaal 30 dagen);
• documenten met betrekking tot bouw en onroerend goed (zoals facturen en contracten met aannemers en architecten: 10 jaar);
• enz.

Is er geen wettelijke termijn, dan bieden de aanbevelingen van de CNIL – gebaseerd op de GDPR en de praktijkervaring van toezichthoudende autoriteiten - nuttige richtlijnen om passende en proportionele bewaartermijnen te bepalen.

Voorbeelden van aanbevelingen uit het referentiekader

1. Wervingsgegevens – niet-geselecteerde kandidaten

Voor cv’s en sollicitatiebrieven van niet-geselecteerde kandidaten beveelt de CNIL aan deze slechts gedurende een beperkte periode na afloop van de selectieprocedure te bewaren, met het oog op eventuele toekomstige opportuniteiten. Wanneer deze gegevens worden opgenomen in een cv-databank, geldt volgens het referentiekader het volgende:

• een bewaring in de actieve databank tot maximaal twee jaar te rekenen vanaf het laatste contact met de niet-geselecteerde kandidaat;
• voor zover het profiel relevant blijft voor de werkgever en de kandidaat zich hier niet tegen heeft verzet.

Met het oog op bewijsvoering, met name bij mogelijke discriminatiegeschillen, oppert de CNIL een bewaring in tussentijdse archivering gedurende een termijn van vijf jaar te rekenen vanaf de datum waarop de functie werd ingevuld, met strikt beperkte toegang. In België kan, rekening houdend met de verlenging van de verjaringstermijnen tot tien jaar voor strafrechtelijke inbreuken, een langere bewaartermijn in tussentijdse archivering verantwoord zijn met het oog op bewijsvoering, namelijk tot tien jaar te rekenen vanaf de datum waarop de kandidatuur niet werd weerhouden of waarop de functie werd ingevuld.

2. Gegevens in het personeelsdossier van de werknemer

Evaluaties, waarschuwingen, addenda en andere personeelsgegevens kunnen in principe worden bewaard gedurende de arbeidsrelatie, m.a.w. zolang de werknemer deel uitmaakt van het personeelsbestand.

Na het einde van de arbeidsovereenkomst kan deze informatie nog worden bewaard in tussentijdse archivering, wanneer de werkgever daartoe wettelijk verplicht is (zie hierboven) of als de gegevens nodig zijn als bewijs in een mogelijk geschil. Deze bewaring dient beperkt te blijven tot de toepasselijke verjaringstermijn, met een beperkte toegang en zonder behoud van de gegevens in de actieve HR-databanken.

In principe verjaren vorderingen die voortvloeien uit de arbeidsovereenkomst één jaar na het einde ervan. Bepaalde vorderingen kunnen evenwel steunen op een strafrechtelijke inbreuk (bijvoorbeeld bij niet-betaling van loon of discriminatie), in welk geval de verjaringstermijn kan oplopen tot tien jaar. Een bewaring van de betrokken gegevens in tussentijdse archivering gedurende deze termijn kan dan ook verantwoord zijn met het oog op bewijsvoering.

Ook hier blijft het uitgangspunt dat de bewaring proportioneel moet zijn en niet langer mag duren dan noodzakelijk.

Actiepunt

Een voorzichtige aanpak voor werkgevers bestaat er in om:

• eerst na te gaan of het Belgisch recht voor de betrokken persoonsgegevens een minimale of maximale bewaartermijn voorschrijft;
• bij gebreke aan een wettelijke termijn, zelf een passende bewaartermijn te bepalen rekening houdend met de operationele noden, de toepasselijke verjaringstermijnen en de technische mogelijkheden. Hierbij kunnen de aanbevelingen uit het referentiekader van de CNIL een nuttig houvast bieden;
• de gekozen bewaartermijnen te formaliseren in een beleid inzake gegevensbewaring, desgevallend met een duidelijke opsplitsing tussen actieve bewaring, tussentijdse archivering en verwijdering.

Een dergelijke gestructureerde aanpak versterkt niet alleen de naleving van de GDPR, maar verhoogt ook de rechtszekerheid binnen de HR-praktijk.