Op 30 april heeft de Autoriteit Persoonsgegevens (‘AP’) een productiebedrijf een boete opgelegd van maar liefst EUR 725.000 wegens het onrechtmatig verwerken van vingerafdrukgegevens. De betreffende werknemers van een bedrijf hebben hun vingerafdrukken moeten laten scannen in het kader van een aanwezigheids- en tijdsregistratiesysteem. Het is de eerste keer dat de AP hiervoor een boete oplegt aan een onderneming.
Vingerafdrukken worden gezien als bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt een verwerkingsverbod (art. 9 AVG) tenzij een uitzondering van toepassing is (art. 9 lid 2 AVG). De AP heeft getoetst of er sprake was van zo’n uitzondering, te weten (i) toestemming dan wel (ii) noodzakelijk in het kader van het gerechtvaardigd belang van de onderneming. De noodzakelijkheid wordt verder ingekleurd door artikel 29 UAVG dat verwerking van biometrische gegevens toe staat indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Om een beroep te kunnen doen op de laatste uitzonderingsgrond dient de onderneming een afweging te maken of identificatie door middel van biometrie noodzakelijk en proportioneel is voor authenticatie of beveiligingsdoeleinden.
De AP komt uiteindelijk tot de conclusie dat de onderneming op geen van de (wettelijke) uitzonderingen een beroep kan doen. Toestemming is niet aangetoond en voor zover deze al wel aangetoond kon worden is toestemming als verwerkingsgrondslag omstreden in arbeidsrelaties. Ook de tweede uitzondering vindt hier geen toepassing. Ten aanzien van deze laatste uitzondering overweegt de AP dat het productiebedrijf weliswaar een belang heeft om te werken met vingerscanapparatuur voor (het tegengaan van misbruik bij) tijdsregistratie, maar gelet op dit doel en de bedrijfsactiviteiten van het productiebedrijf rechtvaardigt dat belang geen uitzondering op het verbod van verwerking van biometrische gegevens. Daarnaast kunnen andere manieren, die minder inbreuk op de privacy van werknemers maken, dit ook bewerkstelligen volgens de AP.
Hoewel het de eerste keer is dat de AP een boete oplegt voor het onrechtmatig verwerken van vingerafdrukken is de methode niet onomstreden. Verschillende rechters hebben eerder al geoordeeld dat het gebruik van een dergelijk systeem de rechterlijke toets niet kon doorstaan. Zie ook onze eerdere blog van 20 augustus 2019 hierover.
Met het opleggen van deze boete lijkt de AP de lat voor het gebruik van dergelijke registratiesystemen hoog te leggen en lijkt het enkel voorbehouden aan een specifiek soort onderneming (de AP noemt als voorbeeld een kerncentrale). Wellicht heeft ook meegewogen dat uit het onderzoek niet is gebleken dat de onderneming voorafgaand aan de invoering van het systeem een risico afweging had gemaakt waaruit de noodzaak van invoering zou blijken, bijvoorbeeld middels het uitvoeren van een Data Protection Impact Assessment (DPIA). Ook sprak niet in het voordeel van de onderneming dat medewerkers zich overvallen voelden door de invoering van het systeem, de informatievoorziening gebrekkig was en de OR hierin niet gekend is.
Vermeldenswaardig tot slot is nog dat de onderneming nog het argument aanvoerde dat haar geen verwijt trof omdat de leverancier van de vingerscanapparatuur en software hen had moeten wijzen op de risico’s. De AP legt dit argument (terecht) naast zich neer: het is en blijft een eigen verantwoordelijkheid van de onderneming om aan de privacyregelgeving te voldoen. Niet gebleken was bovendien dat de onderneming zelf een afweging had gemaakt of het gebruik van biometrische gegevens was toegestaan dan wel daar advies over had ingewonnen. Klein lichtpunt voor de onderneming is dat ze wel succesvol was in een procedure tegen de AP om haar naam uit de publiciteit te houden tot een rechter zich over de zaak heeft kunnen buigen.
Mocht u advies willen over kwesties omtrent privacy, de invoering van een vingerafdruksysteem of het uitvoeren van een DPIA neem dan gerust contact op met één van onze privacy specialisten. Wij zijn u graag van dienst.