Autoriteit Persoonsgegevens straft bedrijf voor opslaan vingerafdrukken werknemers met recordboete
De Autoriteit Persoonsgegevens (AP) heeft op 30 april 2020 het voor Nederland hoogste boetebesluit tot nu toe gepubliceerd. Ten onrechte had de organisatie in kwestie haar werknemers verzocht om vingerafdrukscans te maken bij hun aankomst en vertrek en daarom is een boete opgelegd van €725.000. Omdat de werkgever zich niet kon beroepen op een wettelijke uitzondering uit de AVG die het verwerken van de bijzondere persoonsgegevens toestaat, besloot de AP de boete op te leggen. Bijzonder aan dit boetebesluit is wel dat de organisatie in rechte heeft weten af te dwingen dat het boetebesluit geanonimiseerd is gepubliceerd.
Klacht werknemer
Na een klacht van een werknemer over het scannen van zijn vingerafdrukken voor aanwezigheids- en tijdsregistratie, startte de AP een onderzoek. Het bedrijf in kwestie, dat als gevolg van een rechterlijke uitspraak niet met naam in het boetebesluit is genoemd, verwerkte de vingerafdrukken voor de aanwezigheids- en tijdregistratie van de werknemers, zonder dat de noodzaak daartoe was aangetoond. Voor het registreren van de aanwezigheid van werknemers zijn ook andere manieren te bedenken die minder inbreuk maken op de privacy van werknemers, zoals het invoeren van een code bij binnenkomst en het weggaan. Dit maakte dat het verwerken van biometrische gegevens niet noodzakelijk is. Daarnaast is het verwerken van biometrische gegevens, zoals een vingerafdruk, alleen toegestaan als er een wettelijke uitzondering is.
Toestemming onrechtmatig
Een van de uitzonderingen op grond waarvan het verwerken van biometrische persoonsgegevens is toegestaan, is als de betrokkene uitdrukkelijke toestemming heeft gegeven voor het verwerken hiervan. Het bedrijf stelde dat de werknemers de mogelijkheid hadden om het gebruik van vingerafdrukken te weigeren. Er was echter geen beleid opgesteld door de werkgever om de werknemers om toestemming te vragen. Ook werden de werknemers niet volledig geïnformeerd over het gebruik van vingerafdrukken. De intentie om in de toekomst over te gaan op het gebruik van vingerafdrukken werd zijdelings aangekondigd in de arbeidsovereenkomst en in het Personeelshandboek.
Ook moesten de werknemers verplicht in gesprek met de directeur van het bedrijf als zij weigerden de vingerafdruk af te staan. Daarnaast waren niet alle verstrekte toestemmingen schriftelijk vastgelegd door de organisatie, waardoor er niet kon worden aangetoond dat de toestemming daadwerkelijk was verkregen. De AP vond de argumenten van de organisatie onvoldoende om te concluderen dat de toestemming rechtmatig was verkregen en de gegevensverwerking in overeenstemming was met de AVG.
Voor een werkgever biedt toestemming vrijwel nooit een valide grondslag voor het verwerken van persoonsgegevens van werknemers vanwege de afhankelijkheidsrelatie die tussen een werkgever en een werknemer bestaat. Zoals volgt uit de (recentelijk bijgewerkte) richtlijnen van de Europese privacy toezichthouders over toestemming en de al wat oudere richtlijnen over de privacy van werknemers, kan toestemming van een werknemer niet als vrijelijk gegeven worden beschouwd. Omdat de organisatie zich naast de ongeldige toestemming niet kon beroepen op één van de andere uitzonderingen voor het verwerken van biometrische gegevens, besloot de AP een boete op te leggen.
Recordboete
Voor de hoogte van het boetebedrag baseerde de AP zich op de mate van gevoeligheid van het verwerken van biometrische persoonsgegevens, de tijdsduur van de overtreding en het ontoereikend informeren van werknemers over de aard van de verwerkingen en het geven van toestemming. Door het handelen van de organisatie hadden de werknemers niet de controle over hun persoonsgegevens die de AVG zou moeten bieden. Daarom besluit de AP een boete op te leggen van €725.000, de hoogste boete tot nu toe in Nederland.
Bedrijfsnaam en KvK-nummer verwijderd uit boetebesluit
Saillant detail bij deze zaak is dat de organisatie met succes in rechte met een beroep op de Wet Openbaarheid van Bestuur (Wob) heeft weten te bereiken dat de bedrijfsnaam en het KvK-nummer niet door de AP in het te publiceren boetebesluit opgenomen mochten worden. In de boetebeleidsregels van de AP staat vermeld dat het publiceren van besluiten een manier is om verantwoording af te leggen voor de werkwijze en de berekening van de boete en een manier is om te zorgen dat organisaties die dezelfde overtreding begaan, deze beëindigen. Alhoewel de AP bij de voorzieningenrechter aanvoerde dat van het vermelden van de bedrijfsnaam en het KvK-nummer van de verwerkingsverantwoordelijke een preventieve werking kan uitgaan en zorgt voor transparantie, werd de toezichthouder op dit punt in het ongelijk gesteld. De organisatie wilde eigenlijk dat het boetebesluit in het geheel niet werd gepubliceerd, maar daar ging de voorzieningenrechter niet in mee.
Voor meer informatie over het gebruik van vingerafdrukken, verwijzen wij u ook graag naar dit artikel. Wilt u meer weten over het verwerken van persoonsgegevens van werknemers? Neem dan contact op met Elisabeth Thole en Özer Zivali.