Mag een werkgever de biometrische gegevens van zijn werknemer gebruiken?

Na de laatste aanbeveling over de verwerking van biometrische gegevens, die op 1 december 2021 werd gepubliceerd door de Gegevensbeschermingsautoriteit, moet er voorzichtiger mee worden omgegaan.

Niet zelden wordt gebruikgemaakt van biometrische gegevens (bijvoorbeeld in systemen om de toegang tot gebouwen of computers te controleren op basis van vingerafdruk, gezichtsherkenning of irisscan). Maar is dat wel wettelijk?

In de AVG worden biometrische gegevens gedefinieerd als "persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens (artikel 4, 14).”

Sinds de goedkeuring van de AVG worden biometrische gegevens beschouwd als een bijzondere categorie van persoonsgegevens. De verwerking ervan kan de grondrechten en fundamentele vrijheden van de betrokkenen in het gedrang brengen. In principe is het dus verboden.

De AVG voorziet evenwel enkele uitzonderingen. Wat in de praktijk het vaakst voorkomt: de uitdrukkelijke toestemming van de betrokkene en de redenen van zwaarwegend algemeen belang.

Het zijn deze uitzonderingen waarop de Gegevensbeschermingsautoriteit zich heeft toegespitst in zijn recente aanbevelingen betreffende de verwerking van biometrische gegevens. De laatste aanbeveling dateert van 1 december 2021 (https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.01-2021-van-1-december-2021.pdf).

Een geldige en uitdrukkelijke toestemming wettigt, in principe, de verwerking van biometrische gegevens. Geldt dit ook in het kader van een arbeidsovereenkomst? Voor de Gegevensbeschermingsautoriteit (ook al verbiedt de AVG dit volgens ons niet noodzakelijkerwijs) kan de toestemming niet rechtsgeldig worden gegeven in het kader van een arbeidsovereenkomst. De ondergeschiktheidsrelatie en de onevenwichtigheid die daardoor ontstaat, maken elke toestemming onmogelijk.

Wat met het algemeen belang? Deze uitzondering wordt vaak ingeroepen wanneer het niet mogelijk is gebruik te maken van de uitzondering betreffende de toestemming (wegens de machtsverhouding tussen de verwerkingsverantwoordelijke en de betrokkene). Om redenen van zwaarwegend algemeen belang te kunnen aanvoeren, is het evenwel noodzakelijk dat het recht van de Europese Unie of van een lidstaat dit belang uitdrukkelijk erkent en de verwerking van biometrische gegevens in deze context toestaat. In tegenstelling tot sommige van onze buurlanden heeft België echter geen algemene rechtsgrond die de verwerking van biometrische gegevens in het kader van de unieke identificatie of authenticatie van een persoon voor veiligheidsdoeleinden toestaat (de enige wettelijke bepalingen hebben betrekking op de elektronische identiteitskaart en het paspoort). Voor de Gegevensbeschermingsautoriteit kunnen redenen van algemeen belang de verwerking van biometrische gegevens momenteel niet wettigen. Volgens de Gegevensbeschermingsautoriteit is de Belgische wetgever dan ook verplicht om wetgeving uit te vaardigen als hij een dergelijk gebruik van biometrische gegevens wil (blijven) toestaan.

De Gegevensbeschermingsautoriteit wijst er ook op dat zelfs in het geval van een rechtmatige verwerking de andere beginselen van de AVG op dit gebied van toepassing zullen zijn, met name wat het doel, de evenredigheid, de veiligheid van de verwerkingen, de beperking van de opslag en de transparantie betreft. De verwerking van biometrische gegevens moet dus niet alleen rechtmatig zijn, maar ook noodzakelijk voor de doeleinden van de verwerking. Er mogen dus geen andere privacyvriendelijkere manieren zijn om hetzelfde doel te bereiken.

Volgens de Gegevensbeschermingsautoriteit vindt de verwerking van biometrische gegevens doorgaans plaats zonder rechtsgrond.