Manfield Schoenen B.V. en werkneemster

Feiten

Manfield heeft, na een testfase, in alle filialen een vingerscanautorisatiesysteem voor haar kassasysteem ingevoerd. Door gebruik van het vingerscanautorisatiesysteem kunnen werknemers van Manfield slechts toegang verkrijgen tot het kassasysteem indien zij hun vingerafdruk scannen. Zonder deze toegang is het voor de werknemers niet mogelijk om hun kassawerkzaamheden uit te voeren. Werkneemster heeft zich verzet tegen het gebruiken van haar vingerafdruk voor het vingerscanautorisatiesysteem. Manfield en werkneemster hebben een gezamenlijk verzoek ingediend. Zij willen duidelijkheid over de vraag of werkneemster op goede gronden weigert haar vingerafdruk voor een nieuw ingevoerd systeem van vingerscanautorisatie bij Manfield af te staan. Volgens Manfield is het gebruik van een vingerscanautorisatiesysteem noodzakelijk vanwege het beveiligen van gevoelige informatie, die via haar kassasysteem toegankelijk is. Daarnaast stelt Manfield dat zij bedrijfsbelang heeft bij invoering van het systeem, omdat zij recent is geconfronteerd met fraude waar werknemers bij zijn betrokken. Manfield heeft een andere autorisatiemethode overwogen die in mindere mate inbreuk maakt op de privacy van haar werknemers, maar het risico van ongeautoriseerde toegang in de winkellocatie zelf en van het (ongevraagd) lenen van de pas door collega’s onderling blijft daarmee bestaan. Werkneemster stelt dat deze autorisatiemethode inbreuk maakt op haar privacyrechten omdat het om een biometrisch persoonsgegeven gaat en het op grond van artikel 9 lid 1 van de Algemene verordening gegevensbescherming (AVG) in beginsel verboden is om bijzondere persoonsgegevens, waaronder biometrische gegevens, te verwerken. Manfield zou volgens haar het beoogde doel ook op een andere manier kunnen bereiken en om deze reden is er volgens haar geen sprake van noodzaak en weegt het belang van Manfield niet zwaarder.

Oordeel

De vraag is allereerst of een vingerscan/vingerafdruk een persoonsgegeven is in de zin van de AVG. De kantonrechter beantwoordt deze vraag bevestigend. Door middel van een biometrisch gegeven als een vingerafdruk is de persoon identificeerbaar en kan hij/zij van een andere persoon worden onderscheiden. Algemeen uitgangspunt is dat er een verbod geldt voor verwerking van biometrische gegevens. Dit verbod is niet van toepassing wanneer de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Voor zover Manfield heeft aangevoerd dat in het onderhavige geval in het geheel geen sprake is van verwerking van gegevens, nu deze niet worden bewaard of bewerkt, wordt dit verweer verworpen. Ter zitting is namelijk naar voren gekomen dat het autorisatiesysteem ook wordt gebruikt voor tijdregistratiedoeleinden. Het beroep van Manfield op het bedrijfsbelang wordt eveneens verworpen. Uiteraard staat het Manfield vrij om op te treden tegen fraude, maar zij dient daarbij de AVG in acht te nemen. Naar het oordeel van de kantonrechter is dat niet het geval nu dit type bedrijfsbelang niet is aan te merken als 'noodzakelijk voor authenticatie- of beveiligingsdoeleinden'. Naar het oordeel van de kantonrechter heeft Manfield onvoldoende het standpunt van werkneemster bestreden dat alternatieven zoals toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende zijn onderzocht. De kantonrechter oordeelt dat Manfield aan werkneemster niet de verplichting tot het gebruik van een vingerscanautorisatiesysteem mag opleggen omdat dit in de gegeven omstandigheden in strijd met de AVG/UAVG moet worden geacht.