IT 3123

Boete voor registreren van vingerafdrukken

Autoriteit persoonsgegevens

Autoriteit Persoonsgevens 4 december 2019, IT 3123; Boetebesluit vingerafdrukken personeel (Vingerafdrukken werknemers) De Autoriteit Persoonsgegevens (AP) heeft een boete van 725.000 euro opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde voor aanwezigheids- en tijdsregistratie. Deze gegevens werden bij uitdiensttreding niet verwijderd. In de arbeidsovereenkomst was geen informatie opgenomen over het gebruik van vingerafdrukken. Daarnaast kon het bedrijf niet aantonen dat het uitdrukkelijke toestemming vroeg voor het afnemen van vingerafdrukken en het gebruik van de vingerscans. De AP trof ook geen bewijs aan dat medewerkers voor het afnemen of gebruik van de vingerafdrukken toestemming hadden gegeven of dit hadden geweigerd. Tot slot hadden medewerkers geen vrije keuze, indien een vingerafdruk werd geweigerd volgde een gesprek met de directeur of het bestuur.

Volgens de Autoriteit Persoonsgegevens zijn biometrische gegevens, zoals een vingerafdruk, bijzondere persoonsgegevens. Organisaties mogen bijzondere persoonsgegevens niet gebruiken, tenzij daarvoor in de wet een uitzondering is. In dit geval zouden er twee uitzonderingen op het verbod kunnen zijn. Namelijk als het bedrijf medewerkers om toestemming had gevraagd of wanneer het gebruik van biometrische gegevens noodzakelijk was voor authenticatie of beveiligingsdoeleinden. De AP heeft na onderzoek dan ook geconcludeerd dat het bedrijf geen vingerafdrukken van medewerkers had mogen verwerken. Het bedrijf kan zich namelijk niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens.

3.3.4 Conclusie: Op grond van artikel 9, eerste lid, van de AVG is het in beginsel verboden om biometrische gegevens te
verwerken. De AP komt tot de conclusie dat de verwerking van biometrische gegevens onder
verantwoordelijkheid van [VERTROUWELIJK] niet aan de voorwaarden voor een uitzondering op het
verbod van artikel 9 van de AVG voldoet, specifiek niet aan de voorwaarden als bedoeld in artikel 9,
tweede lid, onder a, van de AVG of artikel 9, tweede lid, onder g, van de AVG in samenhang gelezen met
artikel 29 van de UAVG. Hiermee heeft [VERTROUWELIJK] het verbod van artikel 9, eerste lid, van de
AVG overtreden.