Schoenenketen Manfield op de vingers getikt
Bij schoenenketen Manfield was het gebruikelijk dat medewerkers toegang kregen tot het systeem in de winkels met een persoonlijke cijfercode. Geconstateerd werd echter dat sommige medewerkers fraudeerden door de codes van hun collega’s ongevraagd te gebruiken.
Daarom werd een systeem ingevoerd waarbij het personeel alleen toegang kon krijgen door hun vingerafdrukken te laten scannen. Een van de medewerkers maakte daar bezwaar tegen om de reden dat dit een ongeoorloofde inbreuk op haar privacy zou zijn.
Manfield stelde in de procedure dat het nieuwe systeem noodzakelijk was om fraude tegen te gaan en om vertrouwelijke informatie over personeel en klanten te beschermen. Manfield wees er op dat het scannen van de vingerafdruk niet ongebruikelijk meer was en bijvoorbeeld veel door smartphones wordt gebruikt.
De rechter oordeelde dat de invoering van dit ‘vingerscanautorisatiesysteem’ in strijd was met de Algemene Verordening Gegevensbescherming. Een vingerafdruk is een biometrisch gegeven waarmee een persoon geïdentificeerd kan worden. In principe is verwerking van biometrische gegevens verboden.
Dit tenzij de betrokkene toestemming geeft, de verwerking ter uitvoering van een wettelijke plicht is of als die noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Manfield beriep zich op de laatste uitzondering. Dat was volgens de rechter in dit geval niet aan de orde. Manfield had onvoldoende onderzocht of alternatieven zoals toegangspassen, werknemerspassen en/of cijfercodes, of een combinatie daarvan, ook voldoende bescherming zouden bieden. Ook waren er geen camera’s, alarmpoortjes en/of kluisjes voor het personeel aanwezig in de filialen. Deze vormen van beveiliging zouden wellicht ook voldoende zijn. Het gebruik van de vingerafdrukken was volgens de rechter dus niet absoluut noodzakelijk om de persoonsgegevens te beschermen. De schending van de privacy was ongeoorloofd.