Hoge AVG boete uitgedeeld door AP voor gebruik vingerafdrukken door werkgever
Eerder schreef ik het artikel 'Werknemer op basis van de AVG niet verplicht om vingerafdrukken af te staan' naar aanleiding van een uitspraak van een kantonrechter in Amsterdam. Deze uitspraak liet ons zien dat u als werkgever ook bij het tegengaan van fraude op de werkvloer rekening moet houden met de regels die voortvloeien uit de AVG. In deze uitspraak oordeelde de rechter namelijk dat de werknemers in dit geval niet verplicht konden worden het vingerscanautorisatiesysteem van de werkgever te gebruiken. Inmiddels heeft ook de Autoriteit Persoonsgegevens (AP) zich uitgelaten over het gebruik van vingerafdrukken door werkgevers.
AVG boete van 725.000 euro voor scannen vingerafdrukken werknemers
Sterker nog, de AP heeft een boete van maar liefst 725.000 euro aan een werkgever opgelegd. Dit is de hoogste AVG boete die de AP tot op heden heeft gegeven. Ik merk hierbij volledigheidshalve op dat de werkgever in bezwaar is gegaan tegen dit boetebesluit. De betreffende werkgever, waarvan de naam niet bekend is gemaakt, liet haar werknemers hun vingerafdrukken scannen voor aanwezigheids- en tijdsregistratie.
Na een melding die de AP ontving in 2018 over het gebruik van vingerafdrukken door deze werkgever is de AP een grondig onderzoek gestart. Een onderzoek waarbij telefonisch contact heeft plaatsgevonden, er stukken zijn opgevraagd, er zowel een onaangekondigd als een aangekondigd onderzoek op locatie heeft plaatsgevonden en er verschillende verklaringen zijn afgenomen.
Het AP oordeelde dat er in strijd met de AVG is gehandeld en legde de werkgever de hoge boete op.
Les die getrokken moet worden uit oordeel AP en bijbehorende boete
Een vingerafdruk wordt aangemerkt als een bijzonder persoonsgegeven in de zin van de AVG. Hiervoor geldt dat die niet mag worden gebruikt tenzij het een van deze twee uitzonderingen in de wet betreft:
- het noodzakelijk moeten verwerken van vingerafdrukken voor authenticatie of beveiligingsdoeleinden;
- het beschikken over uitdrukkelijke toestemming van de betrokkenen, in dit geval de werknemers.
Van uitzondering 1 is volgens de AP niet snel sprake. In dit geval moet het noodzakelijk zijn gebouwen en informatiesystemen zó goed te beveiligen dat dit niet anders kan dan door (alleen) vingerafdrukken te gebruiken. Gezien de vele goede beschikbare alternatieven slaagt een beroep op deze uitzondering niet snel.
Dan blijft uitzondering 2 over. Het vragen van toestemming aan de werknemers. De AVG stelt strenge eisen aan het verkrijgen van toestemming. Zo streng dat een werkgever haast nooit over een geldige toestemming van een werknemer kan beschikken. Dit komt doordat werknemers afhankelijk zijn van hun werkgever en dus vaak niet in de positie zijn of zich in de positie voelen om de toestemming te weigeren.
In deze zaak oordeelde de AP dat niet vast was komen te staan dat de werknemers überhaupt toestemming hebben gegeven. Zelfs als zou aangetoond kunnen worden dat toestemming is gegeven, is het nog steeds de vraag of die toestemming voldoet aan alle strenge eisen. Kijkende naar de inhoud van het boetebesluit zal daarvan volgens de AP niet snel sprake zijn.
Vragen over het verwerken van persoonsgegevens in het kader van de AVG?
Gebruikt u als werkgever vingerafdrukken van uw werknemers dan loopt u dus kans op het krijgen van een zeer hoge boete. Dit geldt ook als u een van de andere AVG-regels niet naleeft. Vraagt u zich af of alle verwerkingen die u uitvoert van de persoonsgegevens van uw werknemers zijn toegestaan? Neem contact op met mij of een van de overige privacyrechtspecialisten. Wij maken een beoordeling en adviseren u.