De verwerking van persoonsgegevens bij het selectie- en rekruteringsproces werpt heel wat vragen op bij de implementatie van de GDPR binnen de onderneming: welke persoonsgegevens mogen worden verwerkt? Hoelang mogen de data worden bewaard? Hoe informeer ik de sollicitant?


Welke persoonsgegevens kunnen worden verwerkt ?

Het proportionaliteitsbeginsel dient steeds in het achterhoofd te worden gehouden bij het verwerken van persoonsgegevens. De GDPR schrijft voor dat niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het doeleinde, hier rekrutering en selectie. De informatie die de onderneming vraagt, dient relevant te zijn voor de functie die de betrokken sollicitant zal uitoefenen en beperkt te blijven tot wat relevant is volgens de fase van de selectieprocedure.

Een voorbeeld: Een firma heeft een standaardvragenlijst die zij naar iedere sollicitant opstuurt om ingevuld mee te brengen bij het eerste gesprek. De vragenlijst vraag naar de schoen- en kledingmaten (voor werkkledij), het rijksregisternummer en de samenstelling van het gezin.

Het is niet voor iedere categorie van werknemer vereist om te vragen naar de schoen- en kledingmaat. Dit kan relevant zijn voor personen die toegang hebben tot de productiehal, het magazijn, … maar niet voor de administratief bediende. De vraag kan ook worden gesteld of het proportioneel is om dit van iedere sollicitant te vragen, indien er slechts één sollicitant zal worden weerhouden. Deze informatie kan dus best pas worden opgevraagd in een latere fase van het rekruteringsproces.

Het rijksregisternummer kan pas worden verwerkt wanneer een wettelijke verplichting dit oplegt, bijvoorbeeld wanneer een betrokken sollicitant effectief in dienst treedt bij de onderneming en dus in het kader van het personeelsbeheer en de loonadministratie.

Hetzelfde geldt voor de samenstelling van het gezin. De onderneming kan wel algemene(re) vragen stellen die relevant zijn wegens de aard en de uitoefeningsvoorwaarden van de functie. Doch het is niet nodig om in een formulier reeds te vragen naar de exacte leeftijd van alle gezinsleden, en bijvoorbeeld de functie en opleiding van de partner. 

Informatie verkrijgen over de sollicitant via derden?

De onderneming dient er naar te streven om alle informatie rechtstreeks bij de betrokken sollicitant te bekomen. Indien de onderneming referenties wil nagaan, zal zij eerst de toestemming moeten vragen aan de betrokken sollicitant. Het is aangeraden deze toestemming schriftelijk op te nemen, aangezien ondernemingen aan wie de vraag wordt gesteld, de vraag tot informatie mogelijks niet zullen beantwoorden om de privacy van de sollicitant te waarborgen. 

Bewaartermijn?

Eén van de basisprincipes van de GDPR, maar die eigenlijk ook reeds onder de Privacywet bestond, is dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doeleinde (bijvoorbeeld personeelsbeheer) waarvoor de gegevens werden verzameld. 

De GDPR geeft geen verdere duiding over een specifieke bewaringstermijn en bevat ook geen HR-specifieke bepalingen. De GDPR stelt dat de nationale wetgever verder kan reguleren wat betreft HR-aspecten. Het is dus zaak naar de Belgische (arbeids-)wetgeving te kijken om meer specifieke bewaartermijnen te kunnen bepalen. 

De werkgever is verplicht een aantal sociale documenten bij te houden.

Echter, over de bewaartermijn betreffende de informatie van sollicitanten heeft de Belgische wetgever niets bepaald. Iedere werkgever zal dus zelf dienen te bepalen welke bewaartermijn proportioneel voor iedere concrete situatie tijdens de selectieprocedure.

De Belgische Gegevensbeschermingsautoriteit heeft hier nog geen richtsnoeren over meegedeeld, maar de Nederlandse Autoriteit Persoonsgegevens geeft wel het volgende advies:

  • Kandidaatstelling voor een specifieke vacature: tot 4 weken na de invulling van de vacature.
  • Werfreserve: tot één jaar na opname in de werfreserve.
  • Spontane sollicitatie: tot één jaar na de spontane sollicitatie.

Het is aangeraden om een bewaartermijn te bepalen en effectief toe te passen, aangezien de betrokken sollicitant zijn rechten kan uitoefenen en zou kunnen stellen dat zijn persoonsgegevens te lang worden bijgehouden. 

Informatieplicht?

Eén van de basisprincipes van de GDPR is de transparantie- en informatieplicht. Voor meer informatie kan u terecht bij Stap 3: transparantieplicht om na te gaan welke verplichte vermeldingen de onderneming in haar policy dient op te nemen.

Agoria heeft een template "rekrutering en selectie" opgesteld die de verplichte vermeldingen opsomt. Deze template is beschikbaar onder nummer 20 van onze GDPR templates-pagina


Actieplan

  • Download de template (nr. 20) 'rekrutering en selectie' en pas deze aan volgens de concrete situatie binnen de onderneming (vb. bewaartermijn);

  • Voorzie een procedure om de sollicitant te informeren:

    • Via policy op de "jobs-pagina" op uw website
    • Via een automatische e-mail
    • Tijdens het eerste sollicitatiegesprek
  • Indien beroep gedaan wordt op ondernemingen die data in opdracht verwerkt (vb. uitvoeren van tests), sluit dan een verwerkersovereenkomst af. Voor meer info, zie Stap 5 : Verwerkingsovereenkomst;

  • Het GDPR Compass kan u helpen bij het volledige implementatieproces van de GDPR per verwerkingsdoeleinde;

  • Voor meer informatie en advies kan u contact opnemen met de expert data protection.