Het gebruik van een systeem van tijdsregistratie met vingerafdrukken moet aan de GDPR voldoen

Context

Een werkgever gebruikt de vingerafdrukken van zijn werknemers om hun werktijden te registreren. De leverancier van het systeem is gevestigd in Japan.

Een werknemer vecht het gebruik van het systeem aan, waarbij sprake zou zijn van verwerking die niet voldoet aan de GDPR. Hij vreest ook dat zijn gegevens onrechtmatig zouden worden doorgestuurd naar een derde land, Japan, en dient klacht in bij de Gegevensbeschermingsautoriteit (GBA).

Beslissing van de Gegevensbeschermingsautoriteit

Allereerst wijst de GBA erop dat vingerafdrukken in een bijzondere categorie van persoonsgegevens vallen. Het zijn biometrische gegevens op grond waarvan een persoon eenduidig geïdentificeerd kan worden en bijgevolg brengt de verwerking ervan hoge risico's met zich mee. De verwerkingsverantwoordelijke moet zich daarom beroepen op een van de rechtsgronden en een van de uitzonderingsgronden van artikel 9.2 van de GDPR.

De GBA stelt vast dat, watde rechtsgrond voor de verwerkingbetreft, het bedrijf zich ten onrechte op de toestemming van de werknemers beriep:

• Toestemming was niet geïnformeerd: in een welkomstbrochure die aan nieuwe werknemers werd uitgedeeld, werd verwezen naar de verwerking van de vingerafdrukken. Dit document bevatte echter niet de vereiste informatie;
• Toestemming was niet specifiek: de handtekening "voor ontvangst" op de brochure kon niet worden gebruikt om toestemming af te leiden, evenmin als het ontbreken van enig bezwaar over het gebruik van het systeem;
• Toestemming was niet vrij: het is onwaarschijnlijk dat een werknemer bezwaar maakt tegen een door de werkgever opgelegde verplichting. In deze zaak waren de werknemers verplicht om hun werkuren te registreren en konden ze worden gesanctioneerd als ze dat niet deden.

De GBA merkt vervolgens op dat de werkgever de doeleinden van de gegevensverwerking niet volledig en niet tijdig had vastgesteld. Daarnaast werd niet voldaan aan het doelbindingsbeginsel aangezien de verwerking geen gerechtvaardigd doeleinde had.

Wat hetbeginsel van minimale gegevensverwerkingbetreft, wijst de GBA erop dat er een veel verschillende manieren bestaan om de werktijden te registreren, die niet gebaseerd zijn op biometrische gegevens. De werkgever voert aan dat zijn klanten op het vlak van veiligheid erg veeleisend zijn. De GBA erkent het gebruik van vingerafdrukken geschikt kan zijn om een bijzonder hoog veiligheidsniveau te garanderen, maar dit veiligheidsniveau is volgens hun alleen in uitzonderlijke gevallen gerechtvaardigd (bijv. bij behandeling van levensmiddelen of gevaarlijke stoffen).

Wanneer er beroep wordt gedaan op een leverancier van buiten de EU moeten er wat de verwerking betreft voldoende waarborgen worden voorzien. In dit geval hadden de werkgever en de leverancier verschillende documenten uitgewisseld, waaronder hun privacybeleid, voordat ze een verwerkingsovereenkomst aangingen. De werkgever had dus de nodige stappen ondernomen om aan te tonen dat de leverancier voldoende garanties bood als verwerker.

De GBA besliste om het bedrijf een boete van 45.000 euro op te leggen. Bij het bepalen van de boetehoogte werd enerzijds gekeken naar de ernst van de inbreuk en de omzet van het bedrijf. Anderzijds werden er als verzachtende omstandigheden ook rekening gehouden met de medewerking van het bedrijf en het feit dat er geen voorgaande inbreuken waren.

Te onthouden?

De invoering van een systeem voor tijdsregistratie dat op biometrische gegevens gebaseerd is, kan in strijd zijn met de GDPR.

Biometrische gegevens mogen alleen onder strikte voorwaarden worden verwerkt. De Geschillenkamer van de Gegevensbeschermingsautoriteit herhaalt dit principe en deelt een zware boete uit.

Bron: GBA, Beslissing nr. 114/2024 van 6 september 2024, beschikbaar op www.gegevensbeschermingsautoriteit.be.