In een beslissing van 6 september 2024 bevestigde de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit (GBA) haar eerder standpunt (zie onze newsflash van 23 december 2021 over de aanbeveling van de GBA met betrekking tot de verwerking van de biometrische gegevens) dat het eerder onwaarschijnlijk is dat in het kader van een arbeidsrelatie op geldige wijze toestemming kan worden gegeven voor de verwerking van biometrische gegevens. Daarnaast oordeelde de Geschillenkamer dat een verzoek tot recht op inzage rechtsgeldig kan worden uitgeoefend via een vakbondssecretaris en dat de werkgever derhalve rechtsgeldig mondeling kan antwoorden aan de vakbondssecretaris in plaats van rechtstreeks aan de werknemer zelf.

Feiten

De werknemer (klager) was eerst in dienst als uitzendkracht en vervolgens als werknemer van de werkgever. De werkgever maakte gebruik van een systeem van tijdregistratie met behulp van vingerafdrukken. De leverancier van het systeem was een dochtervennootschap van een groep met hoofdvestiging in Japan. De werknemer vreesde een schending van de GDPR, in het bijzonder vanwege het risico op doorgave naar een niet-EU land met een mindere bescherming.

Verwerking van biometrische gegevens

De Geschillenkamer bevestigde in haar beslissing van 6 september 2024 dat bij de verwerking van categorieën van bijzondere persoonsgegevens de verwerkingsverantwoordelijke zowel moet beschikken over een rechtsgrond als over een uitzonderingsgrond.

Biometrische gegevens zijn persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens. Dit maakt een bijzondere categorie van persoonsgegevens uit in de zin van artikel 9 GDPR die een hogere bescherming geniet.

Geen rechtsgeldige toestemming

De werkgever beriep zich gedurende de procedure op verschillende rechtsgronden, maar besloot uiteindelijk dat de verwerking gebaseerd was op de toestemming van de werknemers. De Geschillenkamer onderzocht of deze toestemming geldig was verkregen, maar oordeelde dat dit niet het geval was omwille van onder meer de volgende redenen:

• Geen geïnformeerde toestemming: De informatie werd bij de indiensttreding uitsluitend meegedeeld met een welkomstbrochure en pas later opgenomen in het arbeidsreglement. De welkomstbrochure bevatte echter onvoldoende informatie volgens de Geschillenkamer. Het arbeidsreglement bevatte later wel voldoende informatie, maar dit was te laat voor de werknemer die de klacht had ingediend. De werknemers waren bijgevolg niet geïnformeerd over de verwerking van hun gegevens op het moment dat ze toestemming hadden moeten geven.
• Geen ondubbelzinnige toestemming: Hoewel de werknemers het arbeidsreglement en de welkomstbrochure ondertekenden voor ontvangst, betekent dit voor de Geschillenkamer niet dat er sprake was van een ondubbelzinnige toestemming voor de verwerking van hun biometrische gegevens.
• Daarnaast stelde de werkgever dat de werknemers de mogelijkheid hadden om een alternatieve manier van tijdsregistratie aan te vragen. De Geschillenkamer constateerde echter dat deze mogelijkheid nergens expliciet vermeld was ten tijde van de implementatie van het systeem.
• Geen vrije toestemming: De toestemming werd niet als ‘vrij’ beschouwd, omdat er negatieve gevolgen verbonden waren aan het niet-toestemmen. Zo stelde de welkomstbrochure uitdrukkelijk dat de verloning van de werknemers gebaseerd was op de “tikkingen”. Bovendien stelde het arbeidsreglement het gebruik van het tijdregistratiesysteem verplicht voor alle werknemers en koppelde de niet-naleving ervan aan sancties. De tijdsregistratie met vingerafdrukken, was tevens het enige middel van tijdsregistratie in werking bij de werkgever. Werknemers konden daardoor het gebruik van het systeem niet weigeren zonder nadelige gevolgen.

  De werkgever argumenteerde dat er geen bezwaren waren geuit door de andere werknemers en dit zou bijgevolg impliceren dat de toestemming wél vrijelijk werd gegeven. De Geschillenkamer wees dit argument echter af. Zij bracht ter herinnering, in overeenstemming met de richtsnoeren omtrent toestemming van de European Data Protection Board (EDPB), dat het machtsonevenwicht tussen werkgever en werknemer een vrije toestemming in een arbeidscontext onwaarschijnlijk maakt. Werknemers kunnen zich door hun afhankelijke positie minder snel uitspreken tegen een verplichting opgelegd door hun werkgever. Hieruit kan worden afgeleid dat de Geschillenkamer toestemming als rechtsgrond in een arbeidsrelatie niet de facto uitsluit, maar toch streng beoordeelt. Er wordt aangenomen dat dit minstens impliceert dat een alternatieve oplossing voor de tijdsregistratie zou worden geboden.

Doelbinding

De Geschillenkamer merkte ook op dat de doeleinden voor het tijdsregistratiesysteem niet consequent werden vermeld in de beschikbare documentatie. De doelstellingen moeten bepaald zijn vooraleer de gegevens worden verkregen. De overige doeleinden die de werkgever voor de Geschillenkamer inriep, waren pas later toegevoegd.

Minimale gegevensverwerking

De werkgever verwees in haar verweer naar de veeleisendheid van haar klanten op het vlak van veiligheid. Om bepaalde certificeringen te krijgen, zou zij aan zeer beperkende voorwaarden moeten voldoen, wat haar ertoe had gebracht had om gebruik te maken van het systeem van tijdsregistratie met vingerafdrukken. Dit kon de Geschillenkamer niet overtuigen.

De Geschillenkamer zag veel alternatieven voor de biometrische tijdsregistratie die de doelstellingen kunnen bereiken en in mindere mate een inbreuk vormen op de privacy van de werknemers zoals prikklokken, personeelskaarten of toegangscodes. Zij oordeelde derhalve dat de verwerking van vingerafdrukken niet noodzakelijk was voor het bereiken van de doeleinden. Zij benadrukte anderzijds dat het gebruik van biometrische gegevens wel relevant kan zijn wanneer minder strenge maatregelen niet volstaan zoals voor zones met speciale veiligheidsoverwegingen, zoals voor de behandeling van levensmiddelen of gevaarlijke stoffen. Zij stelde echter vast dat dit hier niet aan de orde was.

Gegevensbeschermingseffectbeoordeling (DPIA/GEB)

De Geschillenkamer oordeelde dat het gebruik van biometrische gegevens voor de tijdsregistratie van werknemers aanzienlijke risico’s met zich kan meebrengen voor de privacy van de betrokkenen. Ze ging ook de criteria na die waren vastgelegd door de Groep 29 en stelde vast dat aan 5 van de 9 criteria voldaan was. Op basis van deze analyse werd besloten dat de besproken verwerking waarschijnlijk een groot risico inhoudt voor de rechten en vrijheden van de betrokkenen en dat een gegevensbeschermingseffectbeoordeling (GEB of DPIA – voor Data Protection Impact Assessment) dus verplicht was. De werkgever had deze beoordeling moeten uitvoeren voor aanvang van de verwerking van de biometrische gegevens. Door dit niet te doen heeft de werkgever de GDPR geschonden.

Recht op inzage via vakbondssecretaris

De werknemer had op twee momenten schriftelijk een verzoek tot inzage gedaan. Dit gebeurde een eerste keer per e-mail en een tweede keer per aangetekend schrijven. De Geschillenkamer besliste wat het eerste verzoek betreft dat de werkgever geacht werd te hebben voldaan aan haar verplichtingen, doordat zij mondeling in een vergadering met de vakbondssecretaris op dit verzoek zou hebben geantwoord.

Doordat het initiatief voor deze vergadering onrechtstreeks - want via de vakbondssecretaris - uitging van de werknemer, mocht de werkgever er van de Geschillenkamer vanuit gaan dat hij op wettige wijze mondeling kon voldoen aan het verzoek tot inzage.

Sanctie

De werkgever kreeg voor de hierboven besproken inbreuken, samen met nog enkele andere inbreuken, een boete van 45.000 EUR opgelegd.

Aandachtspunt

Let als werkgever op met de verwerking van biometrische gegevens (zoals vingerafdrukken) van werknemers. Slechts in uitzonderlijke gevallen zal toestemming gegeven door een werknemer aanvaard worden als rechtsgrond voor deze gegevensverwerking. Bovendien moeten de beginselen van doelbinding en minimale gegevensverwerking nageleefd worden en zal een GEB (gegevensbeschermingseffectbeoordeling) noodzakelijk zijn.