De Spaanse privacytoezichthouder Agencia Española de Protección de Datos (AEPD) heeft deze boete opgelegd. De AEPD startte het onderzoek na een klacht van een Nederlander en de boete is dan ook afgestemd met de Autoriteit Persoonsgegevens (AP).
De klacht werd in eerste instantie ingediend bij de AP in Nederland. Maar omdat de beslissingen van het recruitmentbureau op dit gebied in de Spaanse vestiging van het bedrijf werden genomen, voerde de Spaanse toezichthouder het onderzoek uit, in goede samenwerking met de AP.
Recht op inzage
De Nederlander in kwestie had zich ingeschreven bij het recruitmentbureau Michael Page en wilde van het bureau weten welke persoonsgegevens het van hem had verzameld. Dit recht op inzage is een recht dat iedereen in Europa heeft, op basis van de Algemene verordening gegevensbescherming (AVG).
Volledige kopie ID
Michael Page wilde de Nederlander alleen inzage geven in de gegevens als hij zich zou identificeren door een volledige kopie van zijn identiteitsbewijs en verzekeringspas op te sturen. Daarbij eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of het adres klopte.
Persoonsgegevens niet nodig
Michael Page eiste hiermee onnodig extra persoonsgegevens. Het bureau had deze persoonsgegevens niet nodig om te controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei. Deze persoon had namelijk ook een account bij Michael Page, waar alleen hij toegang tot had. Dat is voldoende.
Identiteitsfraude
Bovendien is het opvragen van een identiteitsbewijs een erg zwaar middel. Organisaties mogen dat alleen in zeer uitzonderlijke gevallen doen.
De risico’s zijn namelijk groot: kopieën van een identiteitsbewijs kunnen bijvoorbeeld via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens.
Meer over identiteitsbewijs op site Autoriteit Persoonsgegevens