Welke rechten heeft een kandidaat volgens de GDPR?
Hoe staat het met jouw dataprotectiebeleid? De tijd dringt. Hij geldt al een tijdje, maar vanaf 25 mei 2018 wordt de GDPR daadwerkelijk gehandhaafd. Heb jij je zaakjes op orde? De GDPR (General Data Protection Regulation) ofwel AVG (Algemene Verordening Gegevensbescherming) regelt de privacy van gegevens van personen, en dus ook van medewerkers en kandidaten. Volgens deze verordening moeten organisaties uiterst zorgvuldig omgaan met data van personen. Met alle gevolgen van dien. Welke rechten heeft betrokkene volgens de GDPR? In dit artikel gaan we op zoek naar antwoorden.
Impact van GDPR op recruitment en HR
Het naleven van de GDPR heeft voor organisaties behoorlijk wat voeten in de aarde. In het artikel General Data Protection Regulation (GDPR) ofwel AVG lees je meer over het hoe en waarom van deze wet. Je krijgt een indruk van de impact op recruitment en HR en vindt een aantal praktische tips waarmee je aan de slag kunt. De AVG stelt een aantal eisen aan de transparantie over de verwerking en communicatie aan de betrokkene. Een belangrijke rol hierin speelt het privacy statement. In het artikel GDPR / AVG en Privacy statements lees je wat hieronder verstaan wordt en hoe je deze vorm geeft.
Welke rechten heeft een kandidaat volgens de GDPR?
De AVG beschrijft in de Artikelen 15 t/m 21 de rechten die de betrokkene heeft als het gaat om de verwerking van zijn persoonsgegevens. Met betrokkene wordt bedoeld degene van wie je de gegevens verwerkt. In ons geval is dit dus veelal de (potentiële) kandidaat of de medewerker. Betrokkene heeft verschillende rechten:
#1 Recht op toegang
Een betrokkene heeft het recht om van een verwerkingsverantwoordelijke de bevestiging te krijgen dat er gegevens over hem verwerkt worden. In dat geval moet de volgende informatie verstrekt te worden:
- het doel van de verwerking
- welke categorieën van persoonsgegevens verwerkt worden
- welke derde partijen deze persoonsgegevens ook hebben ontvangen
Deze informatie komt voor een groot gedeelte overeen met de informatie die ook in de privacy statement moet staan.
Daarnaast is het de bedoeling dat de betrokkene ‘toegang’ krijgt tot de gegevens die over hem verwerkt worden. Dit zou bijvoorbeeld kunnen door een export van het dossier dat over betrokkene is aangemaakt.
#2 Recht op rectificatie
De betrokkene heeft het recht om zijn gegevens te laten rectificeren mochten ze niet juist of onvolledig zijn. Als je als verwerkingsverantwoordelijke deze gegevens hebt gedeeld met derde partijen, dan dien je deze partijen, indien mogelijk, te informeren over deze rectificatie.
Sommige ATS’en beschikken over een portal waarin de kandidaat zijn gegevens zelf up-to-date kan houden. In dit geval kan je de kandidaat ook naar deze portal verwijzen zodat hij of zij het dossier zelf kan aanpassen.
#3 Recht op verwijdering
Door het recht op verwijdering, ook wel het ‘recht om vergeten te worden’ genoemd, heeft de betrokkene het recht om verwijdering van zijn gegevens te vragen.
Het recht kan gebruikt worden in de volgende gevallen:
- de gegevens zijn niet meer nodig in relatie tot het doel van de verwerking
- de betrokkene trekt zijn toestemming voor de verwerking in
- de betrokkene maakt bezwaar tegen de verwerking, en er is geen bewijsbaar legitiem belang om deze verwerking door te zetten
- de gegevens zijn onrechtmatig verwerkt
- de gegevens moeten verwijderd worden in verband met een wettelijke verplichting
#4 Recht op beperking van verwerking
Bij dit recht kan de betrokkene een blokkering van de verwerking aanvragen. Dit houdt in dat behalve dat de gegevens bewaard blijven, er geen andere verwerking mag plaatsvinden (dus ook geen verwijdering).
Een betrokkene kan van dit recht gebruik maken in de volgende gevallen:
- de juistheid van de persoonsgegevens wordt door de betrokkene in twijfel getrokken. Gedurende de periode dat de persoonsgegevens gecontroleerd worden (en wellicht rectificatie plaatsvindt), mogen de gegevens niet gebruikt worden voor verdere verwerking;
- de verwerking is onrechtmatig, maar de betrokkene wil niet dat de gegevens verwijderd worden en verzoekt in plaats van verwijdering om beperking;
- de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor verwerking, maar de betrokkene heeft deze nog wel nodig, bijvoorbeeld voor de onderbouwing van een rechtsvordering.
Als de verwerkingsverantwoordelijke besluit om de beperking op te heffen, dient hij de betrokkene hierover te informeren.
#5 Recht op data overdraagbaarheid
De betrokkene heeft het recht om de persoonsgegevens die hij aan de verwerkingsverantwoordelijke beschikbaar heeft gesteld, in een gestructureerd en algemeen gebruikt formaat te ontvangen (dit formaat moet machine leesbaar zijn, dus bijvoorbeeld een csv bestand). Hij heeft het recht om deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen.
#6 Recht van bezwaar
De betrokkene kan bezwaar maken tegen verwerking van zijn gegevens, als de verwerking tot stand is genomen op basis van onderstaande punten:
- De verwerking is noodzakelijk voor een taak van algemeen belang of voor een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardige belangen van de verwerkingsverantwoordelijke of van een derde
Als het bezwaar van een betrokkene gegrond is, dan dient de verwerking gestaakt te worden, tenzij je kan bewijzen dat er aantoonbare legitieme redenen zijn om door te gaan met de verwerking, of omdat de gegevens nodig zijn voor juridische claims.
Als het om een bezwaar gaat gerelateerd aan direct marketing, dan dient op het moment dat het bezwaar binnenkomt gestopt te worden met de verwerking.
Hoe lang mag je over deze verzoeken doen?
Als een betrokkene een verzoek doet, op basis van bovenstaande rechten, dan heb je een maand om dit verzoek te behandelen. Als je als organisatie bijzonder veel van dit soort verzoeken in een periode krijgt, of het inwilligen van het verzoek is enorm complex dan kan je dit met twee maanden verlengen. De betrokkene moet dan wel binnen de termijn van een maand ingelicht worden over deze verlenging.
Meer weten over de GDPR/AVG?
Wil je je goed voorbereiden op de GDPR? In onze GDPR voor Recruitment Hub vind je een verzameling artikelen, blogs en webinars die je als recruitment professional helpen voor te bereiden op de nieuwe wetgeving. Neem een kijkje in de GDPR voor Recruitment Hub en meld je aan voor onze updates. Dan ben je altijd als eerste op de hoogte van nieuwe content!