GBA legt boete van € 45.000 op voor onrechtmatig gebruik van een tijdregistratiesysteem

De GBA heeft een werkgever een boete van € 45.000 opgelegd voor het onrechtmatig gebruik van een tijdregistratiesysteem dat biometrische gegevens verwerkte, met name de vingerafdrukken van zijn werknemers.

Een onderneming (de verwerkingsverantwoordelijke) voerde in haar twee gebouwen een systeem voor tijdregistratie in op basis van het verzamelen van vingerafdrukken. De verwerkingsverantwoordelijke maakte gebruik van software die werd geleverd door een derde partij (een verwerker), een dochteronderneming van een Japans bedrijf, dat ook in de VS en China actief is.

Een van de medewerkers van de verwerkingsverantwoordelijke heeft twee keer een inzageverzoek ingediend bij de verwerkingsverantwoordelijke. Het eerste verzoek om toegang werd mondeling beantwoord, tijdens de ontmoeting met de vertegenwoordiger van de vakbond en de verwerkingsverantwoordelijke. Het andere antwoord had slechts gedeeltelijk betrekking op de vragen van de betrokkene, bijvoorbeeld door een gefragmenteerde lijst van de door de verwerkingsverantwoordelijke nagestreefde verwerkingsdoeleinden te verstrekken of door niet te antwoorden op de vraag over een mogelijke weigering van toestemming (de betrokkene was geïnteresseerd in de gevolgen van het niet instemmen met de verwerking van vingerafdrukken).

De betrokkene diende een klacht in bij de GBA (APD/AGV). Ze beweerden dat de verwerking van hun vingerafdrukken in strijd was met hun recht op gegevensbescherming. De betrokkene heeft de vingerafdrukken niet vrijwillig verstrekt en is niet geïnformeerd over de bewaartermijnen van de gegevens. De betrokkene heeft ook twijfels geuit over het passende niveau van gegevensbescherming in derde landen waar de gegevens mogelijk worden doorgegeven.

Volgens de door de verwerkingsverantwoordelijke verstrekte documenten diende de verwerking van vingerafdrukken het doel:

  • registratie van de werktijd (met inbegrip van de voorbereiding van loonstrookjes);
  • Fraudepreventie;
  • veiligheidsredenen, onder meer om te allen tijde te weten hoeveel mensen er op de productiesite aanwezig zijn in geval van brand of in geval van monitoring van de wisseling van opeenvolgende ploegen; en
  • controle van de toegang tot het gebouw van de werkgever.

Tijdens het onderzoek heeft de verwerkingsverantwoordelijke geen rechtsgrondslag voor de verwerking gepresenteerd, noch de regels met betrekking tot de bewaartermijn, noch een schriftelijk beveiligings- en privacybeleid kunnen verstrekken.

Overwegingen

De GBA heeft de klacht gegrond verklaard.

In eerste instantie merkte de GBA op dat de verwerkingsverantwoordelijke biometrische gegevens verwerkte op grond van artikel 4, lid 14, van de AVG, en bijgevolg op bijzondere categorieën van persoonsgegevens op grond van artikel 9, lid 1, van de AVG, omdat de biometrische gegevens werden gebruikt om de betrokkene te identificeren.

De verwerkingsverantwoordelijke heeft niet verduidelijkt op welke rechtsgrondslag artikel 6, lid 1, van de AVG en artikel 9, lid 2, van de AVG zijn gebruikt voor de verwerking van de betrokken gegevens. Na het onderzoek verklaarde de AP dat het om een toestemming ging. De door de verwerkingsverantwoordelijke verkregen toestemming verschafte echter niet de juiste informatie aan de betrokkene en was in strijd met artikel 7, lid 1, van de AVG. Ook werd de toestemming niet vrijelijk gegeven, aangezien deze deel uitmaakte van de arbeidsrelatie en de verwerkingsverantwoordelijke geen alternatief tijdregistratiemechanisme toepaste. Als gevolg hiervan heeft de verwerkingsverantwoordelijke artikel 9, lid 1, lid 1 van de AVG, artikel 6, lid 1, onder a), van de AVG en artikel 9, lid 2, onder a), van de AVG geschonden.

De GBA oordeelde dat de verwerkingsverantwoordelijke niet alle doeleinden van de gegevensverwerking had meegedeeld. In de brochure die aan de betrokkene werd overhandigd, werd alleen melding gemaakt van de behoeften op het gebied van tijdregistratie en beveiliging van de site. Aangezien de verwerking echter niet rechtmatig was, was er geen legitiem doel van de gegevensverwerking en heeft de verwerkingsverantwoordelijke artikel 5, lid 1, onder b), van de AVG geschonden. Bovendien heeft de verwerkingsverantwoordelijke artikel 5, lid 1, onder c), van de AVG geschonden omdat hij zich vertrouwt op een privacy-inbreukmakend mechanisme voor de tijdregistratie van de werknemers, terwijl er mogelijk andere, minder ingrijpende oplossingen beschikbaar waren om de doeleinden van de verwerkingsverantwoordelijke na te streven, bijvoorbeeld prikklokken of persoonlijke kaarten.

De verwerkingsverantwoordelijke gebruikte een welkomstbrochure om de betrokkene en andere werknemers te informeren over de verwerking van hun vingerafdrukken. De brochure bevatte echter niet alle informatie die artikel 13 van de AVG voorschrijft, en zeker geen informatie over de rechtsgrondslag van de verwerking. Derhalve heeft de verwerkingsverantwoordelijke artikel 12, lid 1 AVG, artikel 13, lid 1, onder c), van de AVG, artikel 13, lid 2, onder c), van de AVG en artikel 13, lid 2, onder e), van de AVG geschonden.

Voor de GBA werd het antwoord van de verwerkingsverantwoordelijke op het eerste verzoek om toegang vervuld in overeenstemming met artikel 12 van de AVG. Aan de andere kant was het antwoord op het andere verzoek onvolledig en als zodanig in strijd met artikel 12, lid 1, AVG in samenhang met artikel 15, lid 1, onder d), van de AVG.

Uit het onderzoek bleek ook dat de verwerkingsverantwoordelijke artikel 28 van de AVG had overtreden. Er is geen due diligence uitgevoerd op de technische en organisatorische maatregelen die de verwerker heeft genomen. In plaats daarvan vertrouwde de verwerkingsverantwoordelijke op de brochure van de verwerker en persoonlijke onderhandelingen met de werknemer van de verwerker. Een dergelijke handelwijze was ontoereikend in de zin van artikel 28, lid 1, AVG.

De verwerkingsverantwoordelijke heeft nagelaten een intern beleid op te stellen waarin de gebruikte technische en organisatorische maatregelen worden beschreven. De verwerkingsverantwoordelijke heeft echter de maatregelen geïmplementeerd, die voldeden aan de vereisten van artikel 32 van de AVG, zodat er geen overtreding werd vastgesteld. Desondanks heeft de verwerkingsverantwoordelijke artikel 5, lid 2, van de AVG geschonden door met name niet aan te tonen hoe de maatregelen zijn gecontroleerd of hoe een datalek is afgehandeld.

Bovendien is artikel 35 van de AVG geschonden. Er is geen gegevensbeschermingseffectbeoordeling uitgevoerd, terwijl de verwerking betrekking had op bijzondere categorieën van gegevens van werknemers (kwetsbare betrokkenen) en een grootschalige verwerking vormde (ongeveer 200 werknemers). Bovendien ontbrak het in het register van verwerkingsactiviteiten van de verwerkingsverantwoordelijke onder meer aan een passende beschrijving van de categorieën van verwerkte gegevens. Als gevolg hiervan heeft de verwerkingsverantwoordelijke artikel 30, lid 1, onder a), van de AVG, artikel 30, lid 1, onder b), van de AVG, artikel 30, lid 1, onder c), van de AVG en artikel 30, lid 1, punt d) van de AVG geschonden.

Met betrekking tot de doorgifte van gegevens aan de derde landen benadrukte de GBA dat er geen bewijs was van een schending van hoofdstuk V van de AVG. Evenzo heeft de GBA geen schending van artikel 28, lid 3, van de AVG of artikel 37, lid 1, van de AVG vastgesteld.

Voor de overtredingen van:

• Artikel 5 lid 2 AVG, artikel 30 lid 1 sub a AVG, artikel 30 lid 1 sub b AVG, artikel 30 lid 1 sub c AVG, artikel 30 lid 1 sub d en artikel 35 AVG heeft de GBA de berisping gegeven;

• artikel 12, lid 1, van de AVG en artikel 15, lid 1, van de AVG heeft de verwerkingsverantwoordelijke een waarschuwing ontvangen;

• Artikel 5, lid 1, onder a) van de AVG, artikel 5, lid 1, onder b), artikel 5, lid 1, onder c), van de AVG, artikel 5, lid 2, van de AVG, artikel 6, lid 1, onder a), artikel 9, lid 1, van de AVG en artikel 9, lid 2, onder a), van de AVG, artikel 12, lid 1, van de AVG, artikel 13, lid 1, onder c), van de AVG, artikel 13, lid 2, onder c), van de AVG, artikel 13, lid 2, onder d), van de AVG, heeft de GBA de verwerkingsverantwoordelijke een boete van € 45,00 opgelegd.

Bron: APD/GBA (België) - 114/2024 - GDPRhub (machinevertaling)

Naar het overzicht