07 jul 2020 Arbeidsrecht Jeroen van Kollenburg
De Autoriteit Persoonsgegevens heeft een besluit gepubliceerd over een bedrijf dat vingerafdrukken van zijn werknemers vastlegde bij het in- en uitklokken. De werkgever kon deze gegevens gebruiken om inzicht te krijgen in werktijden, ziekteverzuim en overuren van het personeel. Na onderzoek door de Autoriteit Persoonsgegevens heeft de werkgever een boete gekregen van € 725.000. Jeroen van Kollenburg zet uiteen wat deze werkgever verkeerd deed.
Op grond van de AVG zijn vingerafdrukken bijzondere persoonsgegevens. Het verwerken van deze gegevens is verboden, tenzij de werkgever zich kan beroepen op een van de wettelijke uitzonderingsgronden. In de onderhavige zaak stelde de werkgever dat er sprake was van de uitzonderingsgronden ‘toestemming’ en ‘noodzakelijk in verband met authenticatie of beveiligingsdoeleinden’.
Verwerkt een werkgever bijzondere persoonsgegevens met toestemming van de werknemers? Dan is dit alleen toegestaan als de toestemming is gegeven nadat de werknemers:
Als een werkgever aangeeft dat het verwerken van vingerafdrukken (of andere biometrische gegevens) noodzakelijk is voor authenticatie en beveiligingsdoeleinden, dan moet hij aantonen dat de gebouwen en informatiesystemen zodanig beveiligd moeten zijn dat dit alleen met vingerafdrukken kan. Er mogen dus geen goede alternatieven mogelijk zijn. Dit is een zeer strenge eis. Dat is ook niet zo gek: als vingerafdrukken in de verkeerde handen komen kan dit tot onherstelbare schade voor de betrokken werknemers leiden. Denk daarbij aan chantage en identiteitsfraude. Een vingerafdruk is immers niet vervangbaar.
De Autoriteit Persoonsgegevens vond in deze zaak dat het gebruik van vingerafdrukken in het kader van (het tegengaan van misbruik bij) tijdsregistratie, aanwezigheidscontrole en bevoegd gebruik van apparatuur niet noodzakelijk en niet proportioneel was.
Voordat een werkgever start met het gebruik van vingerafdrukken, moet er los van voornoemde eisen ook een zogenaamde Data Protection Impact Assessment (DPIA) worden uitgevoerd.
Let erop dat de ondernemingsraad dan al snel een advies- of instemmingsrecht heeft.
Denk goed na en win gespecialiseerd advies in voordat u de stap zet om bijzondere persoonsgegevens zoals vingerafdrukken te verwerken. Als werkgever heeft u een eigen verantwoordelijkheid om u aan de regels te houden. De gevolgen van niet-naleving zijn fors, zoals blijkt uit de hoogte van de opgelegde boete in de hierboven besproken zaak.
Jeroen geeft als salary-partner leiding aan de sectie arbeidsrecht. Hij adviseert onder meer over complexe ontslagkwesties, (internationale) reorganisaties, medezeggenschap en overtreding van arbeidsomstandighedenwetgeving.
Meer artikelen van Jeroen van Kollenburg