Autoriteit Persoonsgegevens legt hoogste boete ooit op wegens scannen vingerafdrukken werknemers

 

In tijden van corona is het onderwerp ‘privacy op de werkvloer’ actueler dan ooit. Centraal daarbij staat de Algemene Verordening Gegevensbescherming (AVG) en de handhaving daarvan door de Autoriteit Persoonsgegevens (AP). Dat de AP een waakhond is die niet alleen blaft, maar ook kan bijten, is een paar dagen geleden gebleken: aan een onderneming die haar werknemers liet in- en uitklokken met een vingerscan, is de hoogste boete ooit opgelegd.

 

Het lijkt zo eenvoudig: door middel van een scan van de vingerafdruk registreren welke werknemers er in- en uitklokken op de werkvloer. Echter, vingerafdrukken worden door de privacyregels als ‘biometrische gegevens’ gekwalificeerd, waar zeer zorgvuldig mee moet worden omgesprongen! Biometrische gegevens vallen dan ook in de categorie ‘bijzondere persoonsgegevens’, zoals bedoeld in artikel 9 lid 1 AVG, die extra beschermd dienen te worden. Het gaat immers niet zomaar om een wachtwoord, maar om gegevens die gevoelig zijn voor bijvoorbeeld identiteitsfraude of chantage.

 

Onder de AVG is verwerking van biometrische gegevens met het oog op de unieke identificatie van een persoon, verboden. Op dat verbod zijn slechts twee uitzonderingen: (1) de betrokkene heeft uitdrukkelijk toestemming gegeven; of (2) de verwerking van de biometrische gegevens is noodzakelijk voor authenticatie of beveiligingsdoeleinden.

 

In deze kwestie kon de onderneming zich niet op deze uitzonderingen beroepen voor het afnemen, opslaan en gebruiken van de vingerafdrukken van haar medewerkers.

 

Waar het gaat om de eerste uitzondering, de toestemming van de werknemer, geldt dat een werkgever die toestemming in principe niet mag vragen. Een werknemer staat tot zijn of haar werkgever in een gezagsverhouding, en kan dus moeilijk weigeren. Bovendien had de betreffende onderneming de toestemming ook niet gevraagd en hebben werknemers het vastleggen van hun vingerafdruk als een verplichting ervaren.

 

Ook de tweede uitzonderingsgrond gaat hier niet op: de noodzaak voor beveiliging van gebouwen en informatiesystemen met een vingerafdruk, is vaak niet aanwezig, aangezien er ook andere beveiligingsmiddelen zijn.  

 

Na het doen van onderzoek heeft de Autoriteit Persoonsgegevens, gelet op de ernst van de privacyschending, de hoogste boete ooit opgelegd: € 725.000,-. De onderneming, waarvan de naam niet openbaar is gemaakt, heeft tegen het boetebesluit bezwaar gemaakt.

 

Het boetebesluit van de Autoriteit Persoonsgegevens is hier te raadplegen. 

 

Vragen over privacy op de werkvloer? De arbeidsrechtadvocaten van SPEE advocaten & mediation staan voor u klaar!