Inleiding
De Autoriteit Persoonsgegevens (AP) heeft een bedrijf beboet voor het verwerken van vingerafdrukken zonder toestemming van werknemers. Dit is besloten na eerder ingediende klachten van werknemers. Zo moesten werknemers van het bedrijf hun vingerafdrukken laten scannen voor aanwezigheids- en tijdsregistratie. Dit is in strijd met de privacyregels, zo maakt de AP duidelijk na onderzoek.
In deze zaak heeft de AP na onderzoek (PDF) geconcludeerd dat het bedrijf geen recht heeft om de vingerafdrukken van medewerkers te verwerken. Zo kon het bedrijf zich niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. Vingerafdrukken worden aangemerkt als bijzondere persoonsgegevens. Dus krijgt het bedrijf een boete van 725.000 euro.
Vingerafdrukken zijn bijzondere persoonsgegevens
Biometrische gegevens, zoals een vingerafdruk, zijn bijzondere persoonsgegevens. Biometrische gegevens worden in AVG gedefinieerd als “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedrag gerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukken.” Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.
Vingerafdrukken gebruiken als identificatiemiddel: mag het of niet?
In principe rust er een algemeen verbod op de verwerking van bijzondere persoonsgegevens. Dit geldt dus ook op de verwerking van biometrische gegevens met als doel de identificatie van een persoon. Dit is gedaan, omdat het in veel gevallen gaat om zeer gevoelige informatie en er grote risico’s gepaard gaan met een eventuele datalek.
Uitzonderingen op het verbod op verwerken van vingerafdrukken
Er zijn uitzonderingen op het algemene verbod waarmee het onder bepaalde omstandigheden toch mogelijk is om biometrische gegevens te verwerken. Zo is het toegestaan om vingerafdrukken te verwerken, wanneer daarvoor de uitdrukkelijke toestemming is gegeven door de betrokkene of voor het vitaal belang van de organisatie.
De Uitvoeringswet AVG (UAVG) voegt hieraan een derde element toe. Namelijk dat het verbod op het verwerken van biometrische gegevens niet van toepassing is wanneer dit “geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde”.
De AP heeft geconcludeerd dat dit bedrijf zich niet kan beroepen op een uitzonderingsgrond voor het verwerken van de vingerafdrukken van medewerkers.
Toestemming als geschikt middel?
De privacywet stelt strenge eisen aan het vragen van uitdrukkelijke toestemming. De toestemming moet ondubbelzinnig, specifiek, geïnformeerd én vrij zijn.
Vraagt een werkgever om toestemming aan medewerkers om hun vingerafdruk te verwerken? Dat mag in principe niet. Medewerkers zijn afhankelijk van hun werkgever, dus vaak niet in een positie om te kunnen weigeren.
Dit bedrijf heeft niet aangetoond dat de medewerkers uitdrukkelijke toestemming hebben verleend. Medewerkers hebben daarnaast het vastleggen van hun vingerafdruk als een verplichting ervaren.
Zo voorkomt u boetes en voldoet u aan de privacyregels
Wilt u zorgeloos persoonsgegevens verwerken ten behoeve van uw bedrijfsvoering? Dan dient u de betrokken belangen tegen elkaar af te wegen. Zo weet u of u bepaalde persoonsgegevens wel mag verwerken. Een privacy nulmeting kan u hierbij helpen. In sommige gevallen bent u verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is een middel om uitgebreid in kaart te brengen welke risico\’s het verwerken bijzondere gegevens met zich meebrengt.
Heeft u vragen over het verwerken van bijzondere persoonsgegevens? Wilt u zorgeloos persoonsgegevens verwerken? Neem contact met ons op voor een kennismakingsgesprek. Dit kan ook online.