Er zou een flinke boete zijn opgelegd aan een bedrijf wegens het onrechtmatig verwerken van vingerafdrukken van werknemers, zo kondigde ik al aan in mijn Snelrechtbijdrage van maart. Om welk bedrijf het gaat blijft voorlopig onbekend, maar inmiddels is het boetebesluit wel gepubliceerd. Daaruit blijkt dat een recordboete is opgelegd, waartegen een bezwaarprocedure loopt.
Wat was er precies aan de hand? Het bedrijf gebruikte vingerscanapparatuur voor de aanwezigheids- en tijdsregistratie van zijn werknemers. Hierdoor kon onder meer een sluitende aanwezigheidsregistratie worden gevoerd. De Autoriteit Persoonsgegevens (AP) ontving in juli 2018 een melding dat het verplicht was voor werknemers om hun vingerafdruk af te staan zonder dat zij adequaat over deze verwerking van hun persoonsgegevens werden geïnformeerd. Als zij weigerden om hun vingerafdruk af te staan, volgde een ‘gezellig’ gesprekje met de directeur. De vraag die in het onderzoek van de AP centraal staat is of het bedrijf een succesvol beroep kan doen op een uitzondering op het verbod ex art. 9 AVG om biometrische gegevens te verwerken. De mogelijke toestemming van de werknemer helpt het bedrijf niet. Van uitdrukkelijke, specifieke, vrije en geïnformeerde toestemming is namelijk geen sprake. Door naar de andere mogelijke uitzonderingsgrond: biometrische gegevens mogen worden verwerkt wanneer dit noodzakelijk is voor authenticatie of beveiligingsdoeleinden (zie art. 29 Uitvoeringswet AVG). Hierbij moet worden afgewogen of de gebouwen van het bedrijf dusdanig beveiligd moeten zijn dat de inzet van biometrie hiervoor nodig is. De AP meent dat dit niet het geval is en dat de beveiliging ook op een minder inbreukmakende wijze kan worden gewaarborgd. Conform de Boetebeleidsregels 2019 heeft de AP haar hoogste boete tot nu toe opgelegd van maar liefst 725.000 euro.
Het bedrijf probeert nog van alles: niemand had toch schade ondervonden en de professionele partij bij wie het bedrijf de vingerscanapparatuur had gekocht beweerde dat het mocht. In plaats van een boete zou een berisping meer op zijn plaats zijn. De AP maakt hier echter korte metten mee: er is sprake van verlies van controle over persoonsgegevens. Zoals de AP opmerkt is “het juist deze controle die de AVG aan betrokkenen wil bieden, zodat betrokkenen in staat zijn om hun persoonsgegevens te beschermen en deze in vrijheid te kunnen afstaan” (zie paragraaf 4.3.1 van het Boetebesluit). Het bedrijf heeft een eigen verantwoordelijkheid om zich aan de AVG te houden en mag niet afgaan op uitlatingen van de leverancier.
Het is nu afwachten of de bezwaarprocedure nog tot andere inzichten leidt. Ook zullen we pas zes weken na de bekendmaking van de beslissing op bezwaar weten om welk bedrijf het gaat. Ik kan deze bijdrage dus wederom afsluiten met: wordt vervolgd!
