Recruitmentbureau Michael Page heeft na een klacht van een Nederlandse vrouw een GDPR-boete van 300.000 euro gekregen omdat mensen die hun gegevens wilden inzien onder meer een volledige kopie van hun identiteitsbewijs moesten opsturen. Omdat het bedrijf niet in beroep ging en de boete meteen betaalde kreeg het een korting van twintig procent, waardoor het uiteindelijke bedrag op 240.000 euro uitkwam (pdf).

De Nederlandse die zich over het recruitmentbureau had beklaagd wilde van het bureau weten welke persoonsgegevens het van haar had verzameld. Artikel 15 van de Algemene verordening gegevensbescherming (AVG) stelt dat een persoon aan organisaties kan vragen of er persoonsgegevens van hem worden verwerkt, om welke gegevens het gaat, waarom en op welke manier de verwerking plaatsvindt. Michael Page wilde de Nederlandse alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en verzekeringspas op te sturen.

Tevens eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte. "Michael Page eiste hiermee onnodig extra persoonsgegevens. Het bureau had deze persoonsgegevens niet nodig om te controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei", aldus de Autoriteit Persoonsgegevens. De vrouw had namelijk ook een account bij Michael Page, waar alleen zij toegang tot had. "Dat is voldoende", voegt de Nederlandse privacytoezichthouder toe.

De Nederlandse had haar klacht bij de AP ingediend. Omdat de beslissingen van het recruitmentbureau op dit gebied in de Spaanse vestiging van het bedrijf werden genomen, voerde de Spaanse toezichthouder het onderzoek uit, in samenwerking met de Nederlandse privacytoezichthouder. Eerder besloot de Autoriteit Persoonsgegevens om mediabedrijf DPG Media een boete van 525.000 euro op te leggen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen.