De Autoriteit Persoonsgegevens (AP) maakte gisteren bekend een boete van € 725.000,- te hebben opgelegd aan een bedrijf dat vingerafdrukken van werknemers scant voor de aanwezigheids- en tijdsregistratie. Volgens de AP is de manier waarop dit bedrijf de vingerafdruk gebruikte in strijd met de AVG. Waarom is dit volgens de AP in strijd met de AVG en waarom is de boete zo hoog? Dat leest u in deze blog.
Onrechtmatige verwerking
Het scannen van een vingerafdruk voor beveiligingsdoeleinden levert een verwerking van bijzondere persoonsgegevens op. Die gegevens worden door de AVG extra beschermd omdat de verwerking ervan hoge risico’s met zich meebrengt. De AVG stelt dan ook dat de verwerking van deze bijzondere gegevens in beginsel verboden is, tenzij sprake is van een uitzonderingsgrond. De AP noemt twee mogelijke uitzonderingsgronden in deze kwestie, namelijk (i) uitdrukkelijke toestemming van de werknemer of (ii) noodzakelijk voor authenticatie of beveiligingsdoeleinden.
Om te beginnen met de toestemming van de werknemer. Toestemming moet (onder meer) vrij en geïnformeerd worden gegeven. Bij een arbeidsverhouding is het geven van vrije toestemming in principe niet mogelijk vanwege de afhankelijkheid van de werknemer ten opzichte van de werkgever. In dit geval heeft het bedrijf niet aangetoond dat de toestemming rechtsgeldig was verkregen. Sterker nog, een werknemer verklaarde verantwoording voor de weigering af te hebben moeten leggen aan het bestuur. Tot zover de vrije toestemming.. Ook waren werknemers in kwestie onvoldoende geïnformeerd over de verwerking. Het bedrijf aan wie de boete is opgelegd kon zich dus niet beroepen op toestemming als uitzonderingsgrond.
De uitzondering voor noodzakelijkheid voor authenticatie of beveiligingsdoeleinden gaat hier volgens de AP ook niet op. Het bedrijf heeft niet kunnen aantonen dat er een noodzaak was om de biometrische gegevens te verwerken en dat deze verwerking proportioneel was. Daarnaast zijn er voldoende alternatieve beveiligingsmogelijkheden. Dit maakt dat het scannen van een vingerafdruk volgens de AP niet noodzakelijk is.
Boetehoogte
Voor de boetehoogte is de aard, ernst, duur en verwijtbaarheid van de overtreding van belang. Het gaat hier om een onrechtmatige verwerking van bijzondere persoonsgegevens voor de duur van ruim 10 maanden zonder toereikende informatieverstrekking en zonder vrije toestemming van de werknemer. Dit is volgens de AP een ernstige schending van de AVG.
Dat de leverancier van de scanapparatuur voor de vingerafdrukken niet voor de AVG heeft gewaarschuwd is volgens de AP niet van belang omdat op het bedrijf zelf de verplichting rust om te onderzoeken of het systeem in overeenstemming met de AVG is, al dan niet door het inwinnen van juridisch advies.
Conclusie
De AP heeft met dit boetebesluit de hoogste boete tot nu toe opgelegd op basis van de AVG. Het belang van de bescherming van bijzondere persoonsgegevens wordt hiermee benadrukt. Ook maakt de AP met dit besluit duidelijk dat een beveiligingssysteem met behulp van biometrische gegevens slechts in uitzonderlijke gevallen toegelaten is, zoals bij een kerncentrale. Welke soort bedrijven naast de kerncentrale wél van een dergelijk systeem gebruik mogen maken, blijft onduidelijk. De AP is over één ding volstrekt duidelijk; het systeem is niet toegestaan bij een garage van een reparatiebedrijf.
Heeft u vragen naar aanleiding van deze blog, bijvoorbeeld of uw beveiligingssysteem aan de eisen van de AVG voldoet? Neem dan vrijblijvend contact op met Floortje Eijdems, Wieger Weijland of één van de andere leden van het Privacy-team.