De Spaanse privacytoezichthouder Agencia Española Protección Dates (AEPD) heeft recruitmentbureau Michael Page een boete opgelegd wegens het overschrijden van de GDPR. Dit door een klacht die een Nederlandse vrouw bij toezichthouder Autoriteit Persoonsgegevens (AP) indiende.

Michael Page heeft van de AEPD een boete gekregen voor het onterecht vragen van een paspoortkopie en andere privacygegevens voor het recht op inzage in de eigen persoonlijke gegevens. Bedrijven mogen binnen de GDPR wel vragen naar identificatie voor inzage in de persoonsgegevens, maar hiervoor moeten zij een minimale controle uitvoeren of mensen wel zijn wie ze zeggen te zijn. Michael Page wilde echter een paspoort en een verzekeringspas zien. Ook vroeg het bureau een recente brief voor het bevestigen van het adres.

Klacht bij AP

De Nederlandse vrouw vond de gevraagde gegevens te ver gaan en diende erover een klacht in bij de Nederlandse toezichthouder AP. Volgens haar was het vragen van deze extra paspoortkopie en andere persoonlijke gegevens in strijd met de GDPR.

AP verwees de afhandeling van deze klacht door naar zijn Spaanse collega’s, aangezien het voor de genomen beslissingen een Spaanse vestiging van het recruitmentbureau betreft. De toezichthouders werkten wel samen aan de zaak.

Uiteindelijk stelde het Spaanse AEPD de vrouw in het gelijk en legde het recruitmentbureau een boete van 240.000 euro op. Volgens het boetebesluit stelde Michael Page te veel eisen en had het kunnen volstaan met het verifiëren van de accountgegevens van de bewuste persoon. Hierdoor overtrad het recruitmentbureau de GDPR-regels, er waren immers ook eenvoudigere mogelijkheden.

Ook DPG Media de klos

Het is niet de eerste keer dat bedrijven een GDPR-boete krijgen opgelegd vanwege het overmatig vragen van persoonlijke gegevens voor identificatie. Ook DPG Media kreeg onlangs een boete opgelegd. De boete voor de mediagigant kwam uit op 525.000 euro.

Tip: AP: ‘Gros Nederlandse websites moet stoppen met volgen bezoekers’