De Nederlandse toezichthouder op de privacywetgeving, de Autoriteit Persoonsgegevens (AP), maakte gisteren bekend dat zij op 4 december 2019 een boete van €725.000,-- heeft opgelegd aan een niet nader genoemd bedrijf. De achterliggende reden is dat het bedrijf het verbod op de verwerking van biometrische persoonsgegevens heeft geschonden (artikel 9, eerste lid, AVG). Ook kon het bedrijf zich niet beroepen op een van de in de AVG en UAVG neergelegde uitzonderingen op dit verwerkingsverbod.
Biometrische persoonsgegevens zijn exacte meetgegevens, op basis waarvan een persoon geïdentificeerd kan worden. Hierbij kan onder andere worden gedacht aan het registreren van de iris, vingerafdrukken, handomtrek, stem of handschrift (naar commentaar van H.H. de Vries in Tekst & Commentaar Privacy- en Telecommunicatierecht). Het verwerken van deze persoonsgegevens in beginsel verboden, maar de AVG en UAVG bieden een aantal uitzonderingen op dit verwerkingsverbod.
Zo bepaald artikel 9, tweede lid, AVG dat biometrische persoonsgegevens wel verwerkt mogen worden, als de betrokken persoon daar zijn uitdrukkelijke toestemming voor heeft gegeven of als deze verwerking op basis van Europese of Nationale wetgeving noodzakelijk is vanwege een zwaarwegend algemeen belang. Daarnaast biedt artikel 29 UAVG een uitzondering op het verwerkingsverbod in die situaties waarin gegevensverwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Biometrische gegevens mogen wel door de werkgever verwerkt worden, als de betrokken werknemer daar uitdrukkelijk toestemming voor geeft. Deze toestemming moet aan verschillende eisen voldoen. Zo moet de toestemming vrijelijk, geïnformeerd en ondubbelzinnig worden gegeven (artikel 4, onder 11, AVG). Het bedrijf moet daarnaast achteraf kunnen aantonen dat deze toestemming ook daadwerkelijk is gegeven.
In haar besluit overwoog de AP dat het bedrijf zich niet op deze uitzonderingsgrond kon baseren. Daarbij werd verwezen naar Europese richtsnoeren, die bepalen dat in een (ongelijke) arbeidsrelatie niet snel sprake kan zijn van vrijelijke toestemming. Enkel wanneer er geen negatieve gevolgen verbonden zijn aan het al dan niet het verlenen van toestemming door de werknemer, kan vrijelijke toestemming worden aangenomen.
Volgens het bedrijf was de verleende toestemming weldegelijk vrijelijk. Zo zijn er nooit klachten gekomen vanuit het personeel en werd het oude systeem ook als onhandig ervaren. Ook is het bedrijf altijd zeer open geweest over het in gebruik nemen van het vingerscansysteem en had het enkel goede bedoelingen. Het was ook geen verplichting om met de vingerscan in- en uit te klokken, het oude systeem kon immers ook gebruikt worden.
De AP overwoog desondanks anders. Zo had het bedrijf onvoldoende aangetoond dat de werknemers uitdrukkelijke toestemming hebben gegeven voor de verwerking van hun vingerafdrukscans en was er geen documentatie van beleid of procedures die als bewijs konden dienen voor de verleende toestemming. Daarbij gaven verschillende werknemers in interviews met de AP aan dat dat het vastleggen van de vingerafdrukken – ondanks dat er ook uit andere systemen kon worden gekozen – als verplicht werd ervaren en er bij weigering een gesprek met de directeur volgde. Werknemers verklaarde ook dat het gebruik van vingerafdrukken niet was aangekondigd en er geen informatie werd verstrekt. Het bedrijf heeft onvoldoende kunnen aantonen dat de werknemers voldoende informatie hadden over de (aanstaande) verwerking van vingerafdrukken. Kortom, het bedrijf kon niet aantonen dat er toestemming was gegeven, noch dat deze toestemming ‘vrijelijk’ was.
Een andere uitzondering op het verbod van de verwerking van biometrische persoonsgegevens, is neergelegd in artikel 29 UAVG. Dit artikel bepaald dat het verbod niet van toepassing is indien de verwerking noodzakelijk is voor de authenticatie of beveiligingsdoeleinden.
Als wordt gekeken naar de wetsgeschiedenis, blijkt dat een beroep op dit artikel slechts in hele beperkte gevallen gerechtvaardigd is. De werkgever moet namelijk een afweging maken of een gebouw zodanig beveilig moet zijn dat met biometrische gegevens moet gebeuren. Dat is met name het geval in situaties waarbij slechts een beperkt aantal personen toegang tot een bepaalde locatie moeten krijgen, zoals een kernreactor. Daarnaast moet uit de wetsgeschiedenis worden opgemaakt dat het beveiligen van een garagebedrijf of een loods met biometrische gegevens, niet als noodzakelijk moet worden gezien.
Naar het oordeel van de AP, benaderen de werkzaamheden van het bedrijf eerder die binnen een garage van een reparatiebedrijf, waarbij het volgens de wetsgeschiedenis niet noodzakelijk en proportioneel is om biometrische persoonsgegevens te verwerken. Hoewel het bedrijf een belang heeft om te werken met de vingerscan (het tegengaan van misbruik bij) tijdsregistratie, met gelet op dit doel en de werkzaamheden van het bedrijf, rechtvaardigt dat geen uitzondering op het verwerkingsverbod. Daarnaast het bedrijf ook op andere manieren, die minder inbreuk maken op de privacy van werknemers, kunnen gebruiken voor de tijdsregistratie.
De toezichthouder kwam tot de conclusie dat een boete van €725.000,00 – op basis van de omstandigheden – als redelijk werd ervaren. De hoogte van de boete was mede vastgesteld aan de hand van de boetebeleidsregels van de AP. Bent u benieuwd of uw eigen gegevensverwerking van biometrische persoonsgegevens voldoet aan een van de in de wet genoemde uitzonderingen? Neem dan contact met ons op. Onze bevlogen experts voorzien u graag van antwoorden en verder advies.
Bron: link
De Functionaris
Ligusterbaan 16a
2908 LW Capelle aan den IJssel
KvK-nummer: 69175829
btw-nummer: NL 8577.68.190.B01
