GDPR-hoofdpijn op komst bij aanwerving in 2018 - opgelost door Krzysztof Dzioba van EY LAW

Gepubliceerd: Laatst bijgewerkt:

Het web heeft de manier veranderd waarop mensen naar banen zoeken, alsook de manier waarop bedrijven professionals aanwerven. Kandidaten vullen formulieren in en verstrekken vrijwillig hun persoonlijke informatie of worden door recruiters geïdentificeerd op basis van de informatie die zij online willen delen. In sommige gevallen worden de gegevens van kandidaten die bij het aanwervingsproces betrokken zijn, verkeerd behandeld.

Op 25 mei 2018 treedt een nieuwe privacyverordening in werking die deze kwestie aanpakt. Deze heet de Algemene verordening gegevensbescherming (GDPR).

Hoewel mei 2018 nog ver weg lijkt, moet er nog veel gebeuren en dus moet u nu al beginnen. De klok tikt, maar organisaties zijn er nog lang niet klaar voor. Volgens een onderzoek uit 2017 van TrustArc getiteld "Privacy en de EU GDPR", meldde 61% van de deelnemers aan de enquête dat ze nog niet begonnen zijn met het proces om de GDPR te implementeren. Om u een beter inzicht te geven in de GDPR en de gevolgen ervan voor het aanwervingsproces, praten we met Krzysztof Dzioba van Ernst & Young Recht Tałasiewicz, Zakrzewska i Wspólnicy sp.k.

Inhoudsopgave

1. Wat is de Algemene verordening gegevensbescherming (GDPR) en op wie is zij van toepassing?

Op 4 mei 2016, na vier jaar van zware onderhandelingen, is de GDPR nu gepubliceerd in het Publicatieblad. De verordening is een game changer voor alle soorten organisaties. Het definitieve ontwerp introduceert strengere en prescriptieve uitdagingen voor de naleving van gegevensbescherming, ondersteund door boetes die kunnen oplopen tot 4% van de wereldwijde jaaromzet. De verordening vervangt Richtlijn 95/46/EG, die sinds de invoering ervan in 1995 de basis van de Europese wetgeving inzake gegevensbescherming vormde. De GDPR treedt op 25 mei 2018 in de hele EU in werking en hoeft niet door de lidstaten te worden geïmplementeerd.

De verordening zal een aanzienlijke impact hebben op bedrijven in alle sectoren van de industrie en zowel positieve als negatieve veranderingen voor het bedrijfsleven met zich meebrengen in termen van kosten en inspanningen. Organisaties zullen waarschijnlijk blij zijn met de harmonisatie van de wetgeving in alle lidstaten, waardoor het complexe landschap van gegevensbescherming voor multinationale organisaties gemakkelijker te doorgronden zal zijn. De invoering van nieuwe rechten voor personen, zoals het recht om te worden vergeten en het recht op portabiliteit, en de invoering van een meldingsplicht bij inbreuken, zullen de regelgevingslast voor organisaties waarschijnlijk doen toenemen.

Elk bedrijf en sommige overheidsinstellingen die persoonsgegevens (van klanten, werknemers of contractanten) verwerken, zijn verplicht de GDPR toe te passen.

Het belangrijkste is dat de GDPR geen specifieke technische oplossingen voor gegevensbescherming voorschrijft. Zij bepaalt dat dergelijke oplossingen moeten worden aangepast aan de specifieke gegevens en het risico in verband met inbreuken op de bescherming van persoonsgegevens. Entiteiten die gegevens verwerken, zullen nu moeten bewijzen dat zij het risico hebben beoordeeld en de juiste maatregelen hebben toegepast.

Gegevensbescherming werd veel ingewikkelder en werd een levend proces, dat voortdurend moet worden gecontroleerd en ontwikkeld.

2. Welke gevolgen heeft de GDPR voor het aanwervingsproces en het werk van recruiters in vergelijking met eerdere verordeningen inzake de bescherming van persoonsgegevens?

In de meeste gevallen worden de persoonsgegevens van kandidaten en werknemers beschermd op basis van afzonderlijke besluiten van elke lidstaat.

Op grond van artikel 88 van de GDPR is dezelfde regel van toepassing sinds mei 2018. De lidstaten hebben het recht gekregen om specifiekere regels vast te stellen voor de bescherming van de rechten en vrijheden met betrekking tot de verwerking van persoonsgegevens van werknemers in het kader van de arbeidsverhouding. Daarom moeten in elk land nog regels op dat gebied worden vastgesteld. Verwacht wordt dat er aanzienlijke verschillen zullen zijn, bijvoorbeeld met betrekking tot biometrische gegevens of specifieke categorieën van persoonsgegevens.

De GDPR zal aan werknemers en kandidaten een aantal nieuwe voorrechten toekennen, die eventueel nog door nationale regelgeving kunnen worden aangepast.

Er zijn ook een paar nieuwe regels met betrekking tot de toestemming voor gegevensverwerking - die hieronder zullen worden vermeld.

3. Welke gevolgen heeft de GDPR voor het eerste contact met de kandidaat? Welk soort toestemmingen zijn wettelijk vereist?

Krachtens motief 32 van de GDPR moet de toestemming worden gegeven door middel van een duidelijke, bevestigende handeling waarmee de betrokkene op vrije, specifieke, geïnformeerde en ondubbelzinnige wijze aangeeft in te stemmen met de verwerking van hem betreffende persoonsgegevens, bijvoorbeeld door middel van een schriftelijke verklaring, ook langs elektronische weg, of een mondelinge verklaring. Stilzwijgen, vooraf aangekruiste vakjes of passiviteit mogen niet als toestemming worden beschouwd.

Bijgevolg moet de werkgever in het aanwervingsproces de kandidaat onder meer inlichten over:

  • de doeleinden van de verwerking van persoonsgegevens,
  • de periode gedurende welke zij zullen worden opgeslagen,
  • ontvangers van gegevens,
  • het recht om een klacht in te dienen bij het toezichthoudend orgaan.

Formeel moeten alle kandidaten door de werkgever op de hoogte worden gebracht van de regels inzake gegevensverwerking, hetzij door middel van een document (bijgevoegd of vermeld in het werkaanbod), hetzij door in het eerste contact de vereiste informatie te vermelden.

4. Zijn er verschillen tussen de verwerking van persoonsgegevens van een actieve kandidaat (die zijn cv heeft opgestuurd) en een passieve kandidaat (van wie de gegevens zijn gevonden op LinkedIn, GitHub, Twitter of Facebook)?

De werkgever moet de persoonsgegevens van potentiële werknemers verwerken overeenkomstig de beginselen van betrouwbaarheid, doelgerichtheid, toereikendheid en tijdelijkheid.

De werkgever dient rekening te houden met de noodzaak om aan de informatieplicht jegens de actieve kandidaat te voldoen. De reikwijdte van de informatie kan variëren naargelang de werkgever het cv van een derde of rechtstreeks van de kandidaat verkrijgt.

Voor de verwerking van gegevens van passieve kandidaten is een bepaalde rechtsgrondslag nodig - zoals een rechtmatig belang. Het verzamelen van informatie op sociale media mag alleen in verband staan met zakelijke doeleinden. Met andere woorden, werkgevers mogen alleen persoonsgegevens van kandidaten verzamelen en verwerken zolang deze gegevens noodzakelijk en relevant zijn voor het vervullen van de functie.

In wezen vloeit het verschil in behandeling van persoonsgegevens van kandidaten voort uit de rechtsgrondslag van de verwerking. Actieve kandidaten geven toestemming en passieve kandidaten verwerken hun gegevens op basis van het rechtmatige belang van de werkgever. Het eerste contact met een dergelijke kandidaat moet echter betrekking hebben op de informatieverplichtingen van de werkgever.

5. Wat telt als persoonsgegevens onder de GDPR?

Volgens de GDPR wordt onder "persoonsgegevens" verstaan: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

In wezen is elke informatie die een bepaalde persoon kan identificeren, een persoonsgegeven.

Terwijl bepaalde informatie voor een bepaalde entiteit als een persoonsgegeven zal fungeren, zal dat voor een andere entiteit niet het geval zijn. Als het te veel tijd of geld kost om een bepaalde persoon te identificeren, kan die informatie niet als een persoonsgegeven worden beschouwd.

6. Hebben kandidaten rechten om hun tijdens het aanwervingsproces verzamelde gegevens te beschermen? Wat zijn hun rechten?

Onder de GDPR zullen kandidaten meer rechten hebben op het gebied van de verwerking van hun gegevens in de aanwervingsfase en zal de werkgever moeten toezien op de tenuitvoerlegging daarvan. Zo kunnen de gegevens van een kandidaat bijvoorbeeld worden verwerkt op basis van zijn vrijwillige en bewuste wilsuiting. Toestemming mag niet worden verondersteld en de gebruiker zal het recht hebben die in te trekken, maar dat moet even gemakkelijk gaan als toestemming.

De GDPR legt, zoals gezegd, rechten ten uitvoer die niet zijn uitgesloten van het aanwervingsproces, bijvoorbeeld:

  • het recht om te worden geïnformeerd over de manier waarop persoonsgegevens zullen worden gebruikt,
  • het recht van toegang,
  • het recht op correctie van gegevens die onjuist of onvolledig zijn,
  • het recht om onder bepaalde omstandigheden te worden vergeten,
  • het recht om de verwerking van persoonsgegevens te blokkeren of stop te zetten,
  • het nieuwe recht op gegevensoverdraagbaarheid.

De lidstaten zouden kunnen verduidelijken hoe die rechten door de werknemers tijdens het aanwervingsproces kunnen worden uitgeoefend.

7. Wat betekent de GDPR voor kandidaten die wel deelnemen maar niet geselecteerd worden? Kunnen hun gegevens rechtmatig worden opgeslagen en zo ja, in welke mate?

Werkgevers mogen de gegevens van kandidaten (inclusief cv) niet langer bewaren dan de duur van een bepaalde aanwervingsprocedure.

Zoals het Europese adviesorgaan voor de bescherming van persoonsgegevens aangeeft - de Werkgroep art. 29 - in advies 2/2017 over gegevensverwerking op het werk, gesteld dat "dgegevens die tijdens het aanwervingsproces zijn verzameld, moeten in het algemeen worden gewist zodra duidelijk wordt dat de betrokkene geen aanbod tot tewerkstelling zal worden gedaan of dit aanbod niet wordt aanvaard. De betrokkene moet ook correct worden geïnformeerd over een dergelijke verwerking voordat hij deelneemt aan het aanwervingsproces."

Vergeet niet dat persoonsgegevens niet alleen betrekking hebben op cv's. Ook informatie die tijdens het sollicitatiegesprek over kandidaten wordt opgeslagen, moet worden verwijderd.

Als werkgevers dergelijke gegevens voor een langere periode willen verwerken, bijvoorbeeld met het oog op een latere aanwerving, moeten zij een passende rechtsgrondslag hebben - zoals de toestemming van de kandidaat.

De in het kader van het aanwervingsproces verzamelde gegevens kunnen echter gedurende een langere periode worden verwerkt - in geval van gerechtvaardigd belang (bijvoorbeeld om zich te verdedigen tegen vorderingen in verband met discriminatie). Er moet strikt op worden toegezien dat de gegevens in dat geval niet worden gebruikt voor andere aanwervingsprocessen of andere doeleinden.

8. Kunnen kandidaten rechtmatig eisen dat hun in het kader van de aanwerving verkregen gegevens worden gewist? Hebben zij het recht hun persoonlijke gegevens op te vragen?

Op grond van het GDPR-recht om te worden vergeten, heeft de kandidaat het recht om van de werkgever te eisen dat hij in bepaalde omstandigheden zijn persoonsgegevens wist. Dat kan gebeuren wanneer de werknemer zijn toestemming heeft ingetrokken.

De GDPR heeft het recht op het verkrijgen van hun persoonsgegevens tijdens het aanwervingsproces niet uitgesloten.

Uit de besluiten van de lidstaten kunnen aanvullende voorschriften of eisen in dat verband voortvloeien.

9. Hoe is de GDPR van toepassing op het gebruik van externe tool (zoals ATS) in het wervingsproces? Welke partij wordt behandeld als de gegevensbeheerder en de gegevensverwerker?

Afhankelijk van het soort diensten dat wordt verleend, kan de gegevensuitwisseling tussen de werkgever en de aanbieder van wervingsdiensten de vorm aannemen van een relatie tussen twee administrateurs of een administrateur en een persoon die op verzoek persoonsgegevens verwerkt.

Het antwoord op de vraag welk model in elk geval geldig is, vereist een analyse van de contracten die met dergelijke partners zijn gesloten. Een wervingsbureau kan bijvoorbeeld alleen basisinformatie over de kandidaat aan de werkgever doorgeven (bv. ervaring en opleiding en geen identificatiegegevens) en dus geen persoonsgegevens doorgeven. In dat geval wordt de werkgever naar mijn mening niet beschouwd als voor de verwerking verantwoordelijke of zelfs als verwerker van gegevens.

10. Zijn er wettelijk aanvullende toestemmingen vereist nadat de kandidaat in dienst is genomen? 11. Moeten nieuw aangeworven personeelsleden een opleiding volgen over de systemen die in de organisatie worden gebruikt en over de gegevensbescherming in deze systemen?

In de meeste gevallen wordt de precieze lijst van persoonsgegevens die voor een arbeidsovereenkomst vereist zijn, geregeld door besluiten van elke Lid-Staat. Er is geen toestemming vereist indien de arbeidswetgeving, de belastingwetgeving of andere algemene bepalingen de verwerking van bepaalde persoonsgegevens voorschrijven.

Werkgevers wordt geadviseerd alleen gegevens te verwerken waarvoor de toestemming van de werknemers niet vereist is. Waarom?

Ten eerste moet krachtens de GDPR, zoals hierboven vermeld, elke toestemming vrijelijk worden gegeven, zonder dwang. In elke relatie richt de werkgever zich tot de werknemer vanuit een sterke positie. Daarom is het aanzienlijk moeilijker te bewijzen dat de werknemer zijn toestemming voor de verwerking van persoonsgegevens, bv. zijn foto voor marketing- of integratiedoeleinden, eenvoudig zou kunnen weigeren of intrekken.

Natuurlijk kunnen sommige voordelen voor werknemers (bv. bedrijfsauto, gezondheidszorg) verband houden met gegevensverwerking. Deze toestemming kan echter te allen tijde worden ingetrokken en de gegevens mogen alleen worden verwerkt gedurende de periode die voor dat doel noodzakelijk is.

11. Hoe is de GDPR van toepassing op het ontslag van werknemers? Hebben werkgevers verplichtingen waaraan moet worden voldaan?

Ten eerste, zoals hierboven gezegd, indien de toestemming van de werknemers de enige rechtsgrondslag voor de verwerking van persoonsgegevens is - kan de werknemer zijn toestemming intrekken op het ogenblik van zijn ontslag. Bijgevolg moeten al die gegevens uit de systemen van de werkgever worden gewist.

Indien de grondslag voor de gegevensverwerking in een bepaalde wet is omschreven (inzake arbeidsrecht, sociale zekerheid, belastingen), is de werkgever nog steeds verplicht die gegevens te bewaren na beëindiging van de arbeidsovereenkomst.

In de wetgeving van elke Lid-Staat kunnen aan de werkgevers andere voorschriften en eisen worden opgelegd.

12. Wie is, in het geval van gegevensoverdracht buiten de EU, wettelijk verplicht de gegevens te beschermen en ervoor te zorgen dat alle procedures in overeenstemming zijn met de GDPR?

De werkgever bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens van werknemers. Daarom moet hij worden beschouwd als een voor de verwerking verantwoordelijke, zoals bepaald in artikel 4, lid 7, van de GDPR. De voor de verwerking verantwoordelijke wordt verantwoordelijk gehouden in geval van een inbreuk op de gegevensbescherming.

Op grond van de verantwoordingsplichtregel komt het verzuim om de nodige zorgvuldigheid te betrachten bij een entiteit van een derde land ten laste van de werkgever. Bijgevolg moet de werkgever zich ervan vergewissen dat de entiteit van het derde land passende waarborgen heeft geboden, en op voorwaarde dat er afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen voor betrokkenen beschikbaar zijn - op grond van artikel 46, lid 1, van de GDPR.

Indien de werkgever financiële gevolgen ondervindt van de contractbreuk van de entiteit van het derde land, kan hij natuurlijk zijn rechten voor de rechter doen gelden en schadevergoeding eisen.

13. Wat zijn de gevolgen van niet-naleving van de GDPR?

Ten eerste de voor de hand liggende en welbekende financiële gevolgen (boetes tot 20.000.000 euro of 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, naargelang welk bedrag het hoogst is). Ten tweede, civiele vorderingen van betrokkenen. En ten slotte - aanzienlijke marketingschade.

Post delen

Meer informatie over het inhuren van tech

Abonneer u op onze Learning Hub en ontvang nuttige inzichten rechtstreeks in uw inbox.

Verifieer en ontwikkel coderingsvaardigheden naadloos.

Zie DevSkiller producten in actie.

Beveiligingscertificeringen & naleving. Wij zorgen ervoor dat uw gegevens veilig en beveiligd zijn.

DevSkiller logo TalentBoost logo TalentScore logo