Van badge tot vingerafdruk
Veel werkgevers voeren via hun arbeidsreglement een systeem van tijdsregistratie (“prikklok”) in om de arbeidsprestaties van hun werknemers te controleren. In bepaalde sectoren is een tijdregistratie bovendien verplicht. Dit is ook het geval als je werknemers werken in een systeem van een glijdende uurroosters.
De meeste systemen van tijdsregistratie werken met een badge, via een smartphone of een inlogsysteem via de PC van je werknemer. Sommige prikklokken laten ook toe dat je werknemers zich identificeren via hun vingerafdruk. De werkgever slaat deze dan op (verwerkt gegevens) in een databank zodat de werknemer zich via deze weg kan identificeren in het systeem.
Voordeel is dat frauderen veel moeilijker wordt. Maar de gegevensbeschermingsautoriteit oordeelde dat dergelijke registratiesystemen niet door de beugel kunnen, zelfs niet als de werknemer voorafgaandelijk zijn toestemming gaf.
Wat voorafging: werknemer had toestemming gegeven
In de onderneming registreerde elke werknemer zijn arbeidsprestaties via een systeem van tijdsregistratie met vingerafdruk. Dit was het enige systeem waarmee de werknemers hun arbeidstijd konden registreren.
Bij de verwelkoming van nieuw personeel gaf elke werknemer hiervoor toestemming. Bovendien was deze vorm van tijdsregistratie opgenomen in de welkomstbrochure en in het arbeidsreglement. Bij de invoering was er geen enkele opmerking noch van het personeel noch van de vakbondsafgevaardigden. De personeelsleden gaven aan dat zij deze vorm van registratie verkozen boven een systeem van pasjes.
De werkgever introduceerde het systeem met volgende doeleinden: de registratie van arbeidstijd om loon te betalen, voorkomen van fraude en veiligheid door altijd te weten wie aanwezig is op de werkvloer ingeval van brand en controle. Dit systeem kon men ook gebruiken om de toegang tot het gebouw te controleren. Deze toegangscontrole werd evenwel niet geactiveerd.
Een ex-werknemer diende een klacht in bij de gegevensbeschermingsautoriteit tegen zijn ex -werkgever. De klager meende dat de verwerking van zijn vingerafdrukken een schending was van zijn recht op bescherming van persoonsgegevens. Hij argumenteerde dat hij de vingerafdrukken niet vrijwillig had afgegeven en dat hij niet op de hoogte was gesteld van de opslagmodaliteiten van zijn gegevens en de bewaartermijn ervan.
Na een negatief inspectieverslag van de gegevensbeschermingsautoriteit – en vooraleer de geschillenkamer de zaak behandelde – stopte de werkgever het bewuste tijdregistratiesysteem.
Hoe redeneert de GBA?
Hieronder bespreken we alleen de beslissing van de gegevensbeschermingsautoriteit over het gebruik van het systeem van tijdsregistratie in het kader van de arbeidsrelatie.
Gekozen rechtsgrond: toestemming
Het onderzoek spitst zich toe op de vraag of de verwerking van de biometrische gegevens rechtmatig gebeurde. De werkgever moet zich beroepen op één van de rechtsgronden en moet binnen deze rechtsgrond aantonen dat de verwerking passend is ten aanzien van het doel van de verwerking. Hij kan niet wisselen van rechtsgrond in zijn argumentatie omdat de voorwaarden en gevolgen verschillen per rechtsgrond. In deze zaak beroept de werkgever zich op de gegeven toestemming.
GDPR-rechtsgronden
De Algemene Verordening Gegevensbescherming (AVG, GDPR in het Engels) kent zes rechtsgronden voor gegevensverwerking, en toestemming is er één van.
Op basis van de rechtsgrond toestemming is het uitzonderlijk mogelijk om biometrische gegevens zoals vingerafdrukken te verwerken, terwijl dit normaal verboden is. Maar de toestemming moet wel voldoen aan strenge criteria. Ze moet vrij, specifiek, geïnformeerd en ondubbelzinnig gegeven zijn. Dat betekent dat werknemers echt kunnen kiezen, precies weten waarvoor ze toestemmen, volledig geïnformeerd worden en een duidelijke, actieve keuze maken.
Wat zegt de GDPR over biometrische gegevens?
Biometrische gegevens zijn een bijzondere categorie van persoonsgegevens die een bijkomende verantwoording vereisen om ze te mogen verwerken. Hun verwerking is verboden, tenzij er een wettelijke uitzondering bestaat.
Om vingerafdrukken conform de GDPR-regels te kunnen gebruiken, is er een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming nodig.
Als werkgever (verwerkingsverantwoordelijke) moet je verder aangeven waarvoor je deze gegevens wil gebruiken (het doel van de verwerking). Om dat doel te bereiken moet je kiezen voor een gegevensverwerking die toereikend en ter zake dienend is en die bovendien de minste impact heeft op de privacy van je werknemer om het doel te bereiken (principe van de minimale gegevensverwerking). De verwerking moet dus evenredig zijn aan het beoogde doel.
Gezagsrelatie verhindert vrije toestemming
De geschillenkamer oordeelde dat er geen sprake kan zijn van een vrije toestemming omdat “het onwaarschijnlijk is dat de werknemer zijn/haar toestemming kan weigeren zonder angst of reële dreiging voor nadelige gevolgen ten gevolge van deze weigering en dit omwille van de wanverhoudingen in de arbeidscontext/arbeidsrelatie.”
Wat is vrije toestemming?
Je werknemer moet echt de keuze hebben om te accepteren of te weigeren. Dat is niet het geval wanneer:
- Een weigering om toe te stemmen nadelige gevolgen heeft
- Er een wanverhouding bestaat tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)
- Er geen aparte toestemming kan worden gegeven voor verschillende verwerkingsverrichtingen.
- De toestemming een niet-onderhandelbaar deel is van de algemene voorwaarden
- De betrokkene zijn toestemming niet op elk moment kan intrekken.
Met andere woorden: de gezagsrelatie tussen een werkgever en een werknemer verhindert de vrije toestemming. Die kan alleen gegeven worden als een weigering geen nadelige gevolgen kan hebben voor de werknemer. Dit was wel het geval omdat er geen alternatieve registratie werd voorzien en omdat het loon werd berekend op basis van de geregistreerde uren. Het arbeidsreglement voorziet ook straffen wanneer er geregistreerde uren ontbreken.
Stilzwijgende toestemming volstaat niet
In deze zaak had de werknemer bovendien geen actieve en uitdrukkelijke toestemming gegeven, aldus de GBA. De werkgever mag geen toestemming afleiden uit het feit dat niemand protesteerde. Ook waren de welkomstbrochure en het arbeidsreglement alleen ‘voor ontvangst’ getekend.
Ondubbelzinnige toestemming
Je werknemer moet een duidelijke positieve of actieve handeling stellen. Iedere dubbelzinnigheid of twijfel over de wil van je werknemer moet uitgesloten zijn. Dit kan zowel een schriftelijke verklaring als een mondelinge verklaring zijn evenals een specifieke handeling waaruit de ondubbelzinnige toestemming blijkt. Een stilzwijgende, indicatieve of impliciete toestemming is onvoldoende.
Werkgever moet voldoende informeren
De geschillenkamer oordeelde verder dat de werknemer onvoldoende geïnformeerd was. De werkgever had voorafgaand aan de indiensttreding enkel een welkomstbrochure bezorgd aan de werknemers. Die was onvoldoende gedocumenteerd om te beantwoorden aan de vereisten van de GDPR. Het arbeidsreglement werd pas aangepast na de neerlegging van een klacht, toen de gegevensverwerking al had plaatsgevonden.
Geïnformeerde toestemming
De werknemer die toestemming geeft, moet begrijpen waarvoor en waartoe hij toestemming geeft. Dit is alleen mogelijk als je als werkgever de betrokkene hierover vooraf informeert. Deze informatie moet volledig zijn, helder en geformuleerd in een begrijpelijke taal zodat je werknemer met kennis van zake kan beslissen. Je moet er ook voor zorgen dat je werknemers deze informatie daadwerkelijk onder ogen krijgt, het feit dat ze “toegankelijk” is volstaat niet.
Buitenproportionele impact op de privacy
Omdat de oorspronkelijke verwerking onrechtmatig was, verklaart de GBA elk doel waarvoor de gegevensverzameling gebeurde onrechtmatig. Bovendien kon de werkgever minder ingrijpende systemen kiezen om de ingeroepen doeleinden te bereiken. Dus zelfs als de verwerking rechtmatig zou zijn, voldeed de gebruikte methode niet aan de minimale gegevensverwerking om de beoogde doelen te bereiken.
Overige inbreuken
Verder oordeelt de geschillenkamer dat de werkgever:
- Onvoldoende de risico’s heeft ingeschat inzake de beveiliging van de opgeslagen gegevens en dat er geen beoordeling aanwezig is van het effect van de verwerkingsactiviteiten. Deze was nodig gezien er biometrische gegevens werden verwerkt en de risico’s voor de privacy van de werknemer aanzienlijk zijn bij hacking, identiteitsdiefstal of onbevoegde toegang.
- Een onvolledig register van de verwerkingsactiviteiten opmaakte.
Wat besliste de GBA?
De gegevensbeschermingsautoriteit veroordeelde de werkgever tot betaling van een administratieve geldboete van 45.000 euro voor het onrechtmatig verwerken van bijzondere categorieën van persoonsgegevens, het niet naleven van de beginselen van doelbinding en dataminimalisatie en de gebrekkige informatie over de gegevensverwerking.
De werkgever werd ook berispt voor de inbreuken m.b.t de documentatieverplichtingen (geen gegevensbeschermingseffectendossier, onvolledig register van de verwerkingsactiviteiten)
Wat betekent de uitspraak voor jou als werkgever?
Als werkgever kan je niet op basis van toestemming van je werknemer een registratiesysteem met vingerafdrukken invoeren. Of dit mogelijk is op basis van een andere rechtsgrond werd niet onderzocht, maar lijkt ons bijzonder moeilijk tot onmogelijk aan te tonen. In elk geval zal je een alternatief systeem beschikbaar moeten maken.
Voor het openen van de toegangsdeuren van de werkplaats lijkt een systeem met vingerafdrukken ons wel nog mogelijk, zeker wanneer er bijzondere veiligheidsmaatregelen nodig zijn. Denk aan het opslaan van giftige of explosieve grondstoffen. Maar dan zal je de verwerking moeten verantwoorden op basis van een andere rechtsgrond dan de toestemming.
Maak je HR privacy-proof met Securex
Als jouw sociaal secretariaat helpen we je graag verder met alle aspecten van privacy op de werkvloer. Onze experts staan voor je klaar met praktische modeldocumenten én advies.
Zit je nog met vragen of wil je graag overleggen over jouw specifieke situatie? Je Securex Legal Advisor denkt graag met je mee! Mail gerust naar myHR@securex.be.