Boete van € 725.000 voor verwerken vingerafdruk personeel zonder toestemming

Onder GDPR worden een hele reeks persoonsgegevens “bijzonder beschermd”.  Je mag ze in principe nooit verwerken zonder voorafgaande expliciete toestemming van de betrokkene.  Het gaat bijvoorbeeld om medische gegevens, gegevens over seksuele geaardheid, politieke voorkeur, maar ook om zogenaamde biometrische gegevens.  

Dat laatste omvat bijvoorbeeld irisscans, vingerafdrukscans en facial recognition.  Heel wat bedrijven experimenteren tegenwoordig met security tools die de toegang tot gebouwen regelen op basis van fingerprint scanners of gezichtsherkenning.  Dat is immers makkelijk en veilig. Alleen toont een recente monsterboete van maar liefst 725.000 euro van de Nederlandse Autoriteit Persoonsgegevens nu aan dat wij bedrijven al twee jaar lang ernstig waarschuwen voordat zij zulke tools implementeren…  

GDPR boete verwerken vingerafdrukken

Monsterboete voor vingerafdrukscans van je personeel, hoezo dan?

Biometrische gegevens, zoals vingerafdrukken, zijn gevoelige persoonsgegevens, of “bijzonder beschermde gegevens”  onder de Algemene Verordening Gegevensbescherming (AVG of GDPR).  Je kan ze slechts verwerken onder strenge voorwaarden. Zo moet je bijvoorbeeld een hoger niveau van veiligheid kunnen garanderen dan voor standaard persoonsgegevens.  Je kan ze in principe (behoudens enkele uitzonderingen) ook enkel verwerken als je daarvoor de voorafgaande toestemming hebt gekregen van de betrokkene.

Specifiek in Nederland voorziet de Uitvoeringswet AVG overigens naast toestemming ook de mogelijkheid om biometrische gegevens te verwerken als dat noodzakelijk is voor authenticatie- of beveiligingsdoeleinden (een uitzondering die in België niet bestaat, overigens). 

Volgens de Autoriteit Persoonsgegevens kon het bedrijf niet op een van deze twee rechtsgronden terugvallen.

Geen toestemming en geen noodzaak  

Enerzijds wordt toestemming van werknemers over het algemeen ongeldig beschouwd omdat zij omwille van de ondergeschikte band ten aanzien van hun werkgever niet vrij zijn om te weigeren.  Dat betekent dat de toestemming niet “vrij” gegeven wordt en dus ongeldig is.  Na onderzoek stelde de Autoriteit Persoonsgegevens in casu vast dat veel personeelsleden zich verplicht voelden om in te stemmen met het gebruik van hun vingerafdrukken.  Geen geldige toestemming dus.

Daarnaast kan de noodzaak van de verwerking voor authenticatie- of beveiligingsdoeleinden alleen worden ingeroepen wanneer gebouwen en informatiesystemen zodanig moeten worden beveiligd dat dit niet mogelijk is zonder het gebruik van biometrische gegevens (dwz biometrie kan alleen worden gebruikt als er niet minder invasieve maatregelen beschikbaar). In dit geval was de Autoriteit Persoonsgegevens van mening dat, hoewel de activiteiten van het bedrijf vertrouwelijk moeten blijven, het gebruik van biometrie voor veiligheidsdoeleinden niet gerechtvaardigd was.

Het besluit was dus dat het gebruik van vingerafdrukverwerking door het bedrijf onnodig en onevenredig was. 

Het bedrijf heeft overigens aangekondigd in beroep te gaan tegen het besluit van de Autoriteit Persoonsgegevens.

Omgaan met gevoelige gegevens binnen je bedrijf

Als bedrijf moet je met bijzondere aandacht en omzichtigheid omgaan met de verwerking van gevoelige gegevens van je werknemers. Je mag die eigenlijk enkel verwerken in één van de volgende gevallen:

  • als je de schriftelijke toestemming van het personeelslid hebt gekregen
  • als dat noodzakelijk is om de betrokken persoon de nodige (medische) zorgen te verstrekken
  • als dat verplicht is door de arbeidswetgeving of de sociale zekerheidswetgeving
  • als “de betrokkene de gegevens zelf openbaar heeft gemaakt” (wanneer iemand zich publiek heeft geout als holebi, bijvoorbeeld)
  • als dat noodzakelijk is voor een gerechtelijke procedure
  • als dat noodzakelijk is voor wetenschappelijk onderzoek.

De facto zal dus in 90% van de gevallen toestemming vereist zijn.  Wie, zoals in het voorbeeld hierboven vingerafdrukken wil gebruiken voor toegangscontrole kan dat de facto enkel doen als er een échte vrije toestemming mogelijk is.  Dat betekent in se dat “klassieke” toegangscontrole ook mogelijk moet zijn (prikkaart, badge, intekenen, etc…) voor zij dit dat verkiezen en dat je als werkgever overtuigend moet kunnen aantonen dat niemand op welke manier dan ook gesanctioneerd wordt of kan worden voor zijn of haar weigering om de vingerafdruk te gebruiken.  

Jezelf goed documenteren en jezelf kunnen verantwoorden bij controle is dus cruciaal.  Een goed uitgewerkt dataregister, een duidelijke employee privacy policy, bewijs van open communicaties naar het personeel, het aanduiden van een DPO of alleszins ombudspersoon die klachten onafhankelijk kan afhandelen, … zijn de meest voor de hand liggende stappen om “GDPR compliant” met gevoelige gegevens om te gaan als werkgever. 

Vragen rond GDPR binnen je bedrijf?

Neem gerust vrijblijvend contact op met Bart Van den Brande op 0486 901 931 of op bart@siriuslegal.be