Privacy van sollicitanten: festival geweigerd, job geweigerd?

In juli 2017 kregen ongeveer 37 feestvierders te horen dat de toegang tot het Belgische festival Tomorrowland hen om veiligheidsredenen werd ontzegd. Deze weigering volgde op een beslissing van de gemeente op wiens grondgebied het festival plaatsvindt om iedere geregistreerde festivalganger proactief te laten screenen door de federale politie. Diegenen die in de Algemene Nationale Gegevensbank om bepaalde feiten stonden gesignaleerd, verloren hun recht om het festivaldomein te betreden.

Uit de polemiek die ontstond over het feit dat zonder voorafgaande kennisgeving een achtergrondcheck plaatsvond van elke persoon die een toegangsticket tot het festival had gekocht, blijkt dat de grenzen van het recht op privacy in de praktijk op zeer verschillende wijzen worden geïnterpreteerd. Een soortgelijke situatie zien we trouwens het hele jaar door terugkomen in een andere context, namelijk wat betreft iemand die gaat solliciteren naar een nieuwe job. Het is niet zo uitzonderlijk dat werkgevers, weliswaar zonder bijzondere toestemming van een officiële instantie, zoeken naar informatie over de persoon die graag bij hen in dienst wil treden.

Wat kan en mag een werkgever ondernemen om zijn sollicitant “na te trekken”? Welk belang weegt het zwaarst door: dat van de werkgever of dat van de werknemer?

Een eerste voorbeeld van “natrekking van de sollicitant” is het opvragen van gegevens bij de vorige werkgever en diens klanten. Het principe is dat persoonsgegevens bij de sollicitant zelf moeten verkregen worden. Andere personen mogen slechts gecontacteerd worden wanneer dit noodzakelijk is tijdens de selectieprocedure en de sollicitant hiertoe vrije en duidelijk omschreven toestemming gaf. De potentiële werkgever moet de sollicitant in principe ook altijd informeren wanneer hij informatie opvraagt bij anderen.

Een tweede voorbeeld is het opzoeken van de sollicitant op het internet. Kijken hoe de sollicitant (of werknemer) zich gedraagt op sociale media of hem/haar googelen mag niet volgens de ‘werkgroep Artikel 29 van Europese privacytoezichthouders’, tenzij met goede reden. Het moet dan gaan om specifieke risico’s in samenhang met de functie en de kandidaat moet hierover geïnformeerd worden. De screening mag niet op regelmatige basis gebeuren. Wanneer een kandidaat-financieel bestuurder toestemming geeft, mag de werkgever controleren hoe financieel kwetsbaar hij is. Een verslaving valt echter onder medische gegevens en dient niet gemeld te worden.

Het laatste voorbeeld is het strafblad (en attest van goed gedrag en zeden). Een werkgever mag in principe geen uittreksel uit het strafregister van een sollicitant of werknemer verzamelen en bewaren. Bepaalde vragen naar het privéleven of gerechtelijk verleden mogen niet gesteld worden als deze geen verband houden met de functie of de aard van het bedrijf (ook zo voor medisch onderzoek).

Toch zijn er uitzonderingen. Zo mag de werkgever het strafrechtelijk verleden van zijn werknemer kennen als de wet dit toelaat. Dit is zo voor functies die een blanco strafregister of een strafregister vrij van bepaalde veroordelingen vereisen, zoals voor ambtenaren, militairen, politieagenten, en bewakingsagenten. Dit soort gegevens mag enkel worden verwerkt onder toezicht van de overheid of een andere persoon, als dit door een (nationale of Europese) wet is toegestaan. Omvattende registers van strafrechtelijke veroordelingen mogen in elk geval alleen worden bijgehouden onder toezicht van de overheid.

De sollicitant van zijn kant moet alle noodzakelijke gegevens over beroeps- en studieverleden verschaffen. Wanneer hij niet meer geïnteresseerd is in een betrekking bij de betrokken werkgever, mag die laatste geen gegevens meer verwerken. De werkgever deelt de ex-kandidaat best ook mee dat de gegevens worden gewist.

De wijziging vanuit de toekomstige Algemene Verordening Gegevensbescherming (AVG / GDPR – inwerkingtreding 25 mei 2018) voor bovenstaande, wat nu door de Privacywet wordt geregeld, is dat er één globaal EU-kader komt, waarbij de werknemer/sollicitant extra rechten krijgt, waaronder het (verder gaande) recht op gegevenswissing (met uitzonderingen zoals algemeen belang en volksgezondheid). Als onderneming kijkt u best na hoe u zich dient voor te bereiden op de AVG: kijk na of uw privacyverklaringen up-to-date zijn (met aanduiding van het doel van de dataverzameling), zorg ervoor dat u mogelijk kan maken dat de “betrokkene” zijn rechten vervuld kan zien, controleer uw arbeidsreglement,… De Privacycommmissie krijgt de mogelijkheid om boetes uit te schrijven, maar bemiddeling blijft haar eerste keuze.

Ten slotte kan – in het algemeen – geautomatiseerde besluitvorming en profilering enkel bij uitdrukkelijke toestemming of om redenen van zwaarwegend, algemeen belang gebeuren waarbij men telkens de rechten en vrijheden van de betrokken met gepaste maatregelen respecteert. Of de politie dit deed bij de controles voor Tomorrowland zal moeten blijken, als werkgever is profilering uit den boze.

Ruben Massoels Joren Janssen