Bedrijven zijn bezig met het digitaliseren van hun processen, waaronder het efficiënter registreren van de arbeidstijd. Bedrijven denken vaak aan applicaties op de markt, waarmee werknemers aan de hand van hun biometrische gegevens hun arbeidstijd kunnen registreren. De vraag stelt zich of het gebruik van biometrische gegevens voor het registreren van arbeidstijd in overeenstemming is met de Algemene Verordening Gegevensbescherming (AVG) en de Belgische wetgeving inzake de bescherming van persoonsgegevens.
De werkgever is op basis van Europese wetgeving verplicht is om in de onderneming een objectief, betrouwbaar en toegankelijk systeem op te zetten dat toelaat de arbeidstijd van elke werknemer in de onderneming te registreren. In onze Belgische wetgeving wordt echter niet voorzien dat werkgevers verplicht zijn om gebruik te maken van een tijdsregistratiesysteem, behalve wanneer de werkgever gebruik maakt van glijtijd.
In de recente procedure voor de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit maakte een werkgever gebruik van een systeem van tijdsregistratie met behulp van vingerafdrukken. Vingerafdrukken worden beschouwd als biometrische gegevens die een bijzondere categorie van persoonsgegevens zijn. Bijzondere categorieën van persoonsgegevens genieten een hogere rechtsbescherming genieten dan pakweg gewone identificatiegegevens (naam, voornaam, adres, telefoonnummer, e-mailadres). Om biometrische gegevens van een werknemer te verwerken heb je een rechtsgrond (artikel 6 AVG) en een uitzonderingsgrond (artikel 9 AVG) nodig.
De werkgever baseerde zich op de rechtsgrond/uitzonderingsgrond: toestemming van de werknemer. Een toestemming moet immers geïnformeerd, vrij en ondubbelzinnig zijn. De geschillenkamer is dan ook nagegaan of de werknemer op een geldige wijze toestemming had gegeven.
- Geïnformeerde toestemming: De werknemers moeten op een goede wijze geïnformeerd worden over de verwerking van hun biometrische gegevens op het moment dat ze hun toestemming geven (bv. via een arbeidsreglement/policy/beleid). In casu was de werknemer niet (voldoende) geïnformeerd over de verwerking van hun gegevens op het moment dat deze zijn toestemming had moeten geven.
- Ondubbelzinnige toestemming: De loutere ondertekening voor ontvangst is volgens de GBA niet van die aard om te spreken van een ondubbelzinnige toestemming. Het moet gaan om de ondertekening of click via een computer van een specifiek toestemmingsformulier.
- Vrije toestemming: In het algemeen wordt aangenomen dat een vrije toestemming niet mogelijk is in een arbeidsrelatie gelet op de hiërarchische relatie tussen werkgever en werknemer. De toestemming werd ook in deze beslissing niet als ‘vrij’ beschouwd, omdat er negatieve gevolgen verbonden waren aan het niet geven van toestemming. De loonbetaling van de werknemers was afhankelijk van de “tikkingen”. Het gebruik van het tijdregistratiesysteem was voor alle werknemers verplicht, waarbij de niet-naleving gepaard ging met sancties. Het gebruik van vingerafdrukken voor tijdsregistratie was bovendien het enige systeem dat door de werkgever werd toegepast. Werknemers konden hierdoor niet weigeren om het systeem te gebruiken zonder nadelige gevolgen.
De Geschillenkamer meende dat er ook een probleem was op het vlak van minimale gegevensverwerking: er waren verschillende alternatieven voor biometrische tijdsregistratie die dezelfde doelstellingen konden bereiken, maar minder ingrijpend zouden zijn voor de privacy van de werknemers, zoals prikklokken, personeelskaarten of toegangscodes. Het verwerken van vingerafdrukken was niet noodzakelijk om de doeleinden te bereiken. Het gebruik van biometrische gegevens zou volgens de Geschillenkamer wel gerechtvaardigd kunnen zijn in gevallen waarin minder ingrijpende maatregelen niet voldoende zijn, zoals in gebieden met speciale veiligheidsvereisten, bijvoorbeeld bij de verwerking van levensmiddelen of gevaarlijke stoffen. In casu was dit niet het geval.
Hoewel de Europese wetgeving de basis voor de verplichting van werkgevers om de arbeidstijd van werknemers te registreren legt, wat essentieel is voor de naleving van arbeidsrechtelijke bepalingen, bevestigt de beslissing van de Geschillenkamer dat indien de werkgever technologieën voor de tijdsregistratie gebruikt, zoals biometrie, deze technologieën binnen het kader van de Algemene Verordening Gegevensbescherming (AVG) moeten opereren.
Voor Belgische ondernemingen betekent dit dat, hoewel ze wettelijk verplicht kunnen zijn om een tijdsregistratiesysteem te implementeren, ze tevens moeten zorgen voor een zorgvuldige afweging van de privacy-implicaties bij het gebruik van biometrische gegevens. Dit vereist dat de verwerking noodzakelijk, proportioneel en transparant is, en dat er voldoende maatregelen worden getroffen om de privacy van werknemers te waarborgen. Beide kaders (de Europese richtlijn inzake tijdsregistratie en de AVG) moeten in balans worden gebracht om zowel te voldoen aan arbeidswetgeving als aan de bescherming van persoonsgegevens. Het wordt aldus wachten op een wetgevend initiatief die een wettelijke basis kan bieden voor het gebruik van biometrische gegevens in het kader van tijdsregistratie.
(Beslissing ten gronde 114/2024 van 6 september 2024 van de Belgische Gegevensbeschermingsautoriteit)
Amélie Desmadryl
Advocaat
