Toestemming als uitzondering voor verwerking van biometrische gegevens
Recentelijk heeft de Autoriteit Persoonsgegevens (AP) een hoge boete, namelijk 725.000, – euro opgelegd aan bedrijf dat vingerafdrukken van werknemers scande voor aanwezigheids- en tijdsregistratie.[1] Biometrische gegevens, zoals een vingerafdruk, zijn namelijk bijzondere persoonsgegevens in de zin van artikel 9 AVG. Dit zijn unieke kenmerken die te herleiden zijn naar één specifiek persoon. Echter, deze gegevens bevatten vaak meer informatie dan noodzakelijk is voor bijvoorbeeld identificatie. Verwerking daarvan vormt derhalve grote risico’s op het gebied van grondrechten en fundamentele vrijheden van mensen. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Biometrische gegevens worden daarom goed beschermd en is verwerking daarvan op grond van artikel 9 AVG verboden, tenzij daarvoor een wettelijke uitzondering bestaat. In deze zaak kwam de AP tot conclusie dat het betreffende bedrijf geen beroep toekwam op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens.
Over de vingerafdruk in het kader van de AVG en een van de uitzonderingsgronden, namelijk noodzakelijkheid, hebben wij eerder in een van onze blogs geschreven: ‘Vingerafdruk in strijd met AVG’. In deze blog staat de andere alternatieve uitzonderingsgrond centraal: toestemming. Wanneer een werkgever in zijn bedrijf gebruik maakt van biometrische gegevens zoals vingerafdrukken, kan hij dan in het kader van privacy volstaan met een toestemming van zijn werknemer?
Onder toestemming wordt verstaan een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee iemand met een verklaring of een ondubbelzinnige actieve handeling een verwerking van zijn persoonsgegevens aanvaard, aldus artikel 4 onderdeel 11 AVG. De werkgever dient in het kader van deze uitzondering derhalve niet alleen aan te tonen dat zijn werknemers de toestemming hebben verleend, maar ook dat dit ondubbelzinnig, specifiek en geïnformeerd is geschied. Ondertekening van de arbeidsovereenkomst of ontvangst van het personeelshandboek waarin de werkgever slechts de intentie heeft vastgelegd om, zoals ook in de betreffende zaak het geval was, volledig met de vingerafdruk te gaan inklokken, is in dit kader onvoldoende, zo oordeelde de AP. Als bewijs dient de werkgever bijvoorbeeld beleid, procedures of andere documentatie te overleggen, waaruit blijkt dat zijn werknemers voldoende geïnformeerd zijn over de verwerking van de biometrische gegevens en zij ook (uitdrukkelijke) toestemming hebben gegeven voor verwerking daarvan.
Wordt de toestemming door de werknemer gegeven, dan dient deze voorts niet alleen ‘uitdrukkelijk’ maar ook ‘vrijelijk gegeven’ te zijn, aldus de AP. ‘Uitdrukkelijk’ is bijvoorbeeld schriftelijke toestemming, ondertekening, het versturen van een e-mail om toestemming te geven of toestemming met tweetrapsverificatie. ‘Vrijelijk gegeven’ betekent dat er geen dwang dan achter mag zitten (zoals in de betreffende zaak aan de orde was: bij weigering om de vingerafdruk te laten inscannen volgde een gesprek met de directeur/bestuur) of dat toestemming een voorwaarde mag zijn voor iets anders. Aan de voorwaarde ‘vrijelijk gegeven’ wordt door de werkgever in ieder geval niet voldaan wanneer werknemers verplicht zijn of het, zoals ook in de betreffende zaak, als een verplichting ervaren om hun vingerafdruk te laten vastleggen. In het algemeen oordeelde de AP in het kader van dit vereiste dat gezien de afhankelijkheid die het gevolg is van de relatie tussen de werkgever en werknemer, het onwaarschijnlijk is dat de werknemer zijn of haar toestemming vrijelijk kan verlenen. Het tegendeel zal door de werkgever moeten worden bewezen.
Vraagt een werkgever om toestemming aan zijn medewerkers om hun vingerafdruk te verwerken? Dan leert de AP in het kader van deze zaak dat dit in principe niet mag. Immers, medewerkers zijn afhankelijk van hun werkgever en dus vaak niet in een positie om te kunnen weigeren. Dat wil niet zeggen dat de werkgever zich nooit met succes op de toestemming-grond kan beroepen. Echter, de werkgever moet echt van goeden huize en met voldoende bewijs komen om zijn beroep op de toestemming-grond te laten slagen, teneinde biometrische gegevens van zijn werknemers, zoals vingerafdrukken, te kunnen verwerken. Bent u voornemens om binnen uw bedrijf gebruik te maken van biometrische gegevens of vraagt uw werkgever u om toestemming om bijvoorbeeld uw vingerafdruk te gebruiken? Dan is het van belang om niet direct te handelen en de toestemming te verlenen, maar u eerst goed te laten informeren. De advocaten van Law & More zijn deskundig op het gebied van privacy en kunnen u voorzien van informatie. Heeft u nog andere vragen aan de hand van deze blog? Neem dan contact op met Law & More.
__________________________
[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers#subtopic-1880