Door Anoniem:
Het antwoord op de vraag "Verwerkt u gevoelige gegevens of gegevens van zeer persoonlijke aard?" is volgens mij JA, omdat er salaris betaald wordt aan medewerkers. In de toelichting staat immers " Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens."
Hiermee wordt gedoeld op de categorie bijzondere persoonsgegevens, artikel 9 AVG. Daar zou je eventueel nog lid 2, sub b bij kunnen betrekken nu het een arbeidsrelatie betreft. Overigens zal een betrokkene ook toestemming geven voor deze verwerking, nu hij graag zijn salaris zal willen ontvangen(sub a). De verwerking is in ieder geval legitiem.
Artikel 35 stelt voorwaarden over het al dan niet moeten uitvoeren van een DPIA. lid 3, sub b verwijst hier weer naar artikel 9, waar financiele gegevens niet in zijn opgenomen. Strikt gezien lijkt de AVG in dit geval niet te verplichten dat je een DPIA uitvoert, echter kan ik niet inzien welke gegevens je precies verwerkt.
het antwoord op de vraag "Verwerkt u gegevens over kwetsbare personen?" is ook JA, omdat volgens de toelichting "Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan. In elk geval om relaties waarbij er sprake is van een afhankelijkheid tussen de verantwoordelijke en de betrokken personen."
Ik denk dat deze vraag cruciaal is in deze situatie. De betrokkenen (werknemers) zijn in dit geval kwetsbare personen gezien de machtsrelatie en de mate van afhankelijkheid van de werknemer t.o.v. de werkgever.
Ik raad je aan om aritkel 35 van de AVG eens goed door te lezen, al dan niet met commentaar. Mocht je advies op jouw concrete situatie willen hebben, raad ik aan een advocaat te raadplegen.
Indien inderdaad geconcludeerd kan worden dat een DPIA dient te worden uitgevoerd, hoeft dit geen aardverschuivende onderneming te zijn. Het klinkt een stuk spannender dan het daadwerkelijk is, maar dient wel goed te worden uitgevoerd.