Juridische vragen over foto's op de werknemerspas

Opmerking: dit artikel verwijst naar de GDPR met toepassing in de EU.

Kan een bedrijf een foto aanvragen voor de werknemerspas?

Ja, voor alles wat nodig is om de arbeidsrelatie uit te voeren of om de veiligheid te waarborgen, is geen toestemming nodig onder GDPR. Een foto op de ID-kaart is toegestaan onder de wetgeving inzake gegevensbescherming als dit noodzakelijk is, bijvoorbeeld voor beveiliging en identificatie in het bedrijf.

De rechtsgrondslag is gebaseerd op:

• Art. 6 lid 1 lit. f GDPR: "Legitiem belang" - bijv. beveiliging, toegangscontrole, fraudepreventie
• Mogelijk Art. 6 para. 1 lit. b GDPR: "Contractvervulling" - bijv. identificatie in de arbeidsrelatie

Heb ik toestemming nodig voor het maken van de foto?

Nee. Toestemming is niet vereist voor een foto op de werknemerspas; de rechtsgrondslag is het legitieme belang of de uitvoering van het contract. Toestemming zou hier overbodig en zelfs gevaarlijk zijn, omdat de werknemer deze in theorie zou kunnen intrekken en het proces juridisch instabiel zou worden. Toestemming zou niet echt vrijwillig zijn in de arbeidsrelatie, maar de GDPR vereist dat toestemming vrijwillig wordt gegeven.

Voor aanvullende doeleinden zoals een internetprofielfoto, Microsoft Teams-foto, voor de website of marketingmateriaal is echter apart gedocumenteerde, expliciete en vrijwillige toestemming vereist. Het is het beste als werknemers de foto zelf kunnen uploaden naar deze kanalen. Photo Collect kan een kopie per e-mail naar elke werknemer sturen voor eigen gebruik.

Is toestemming vereist voor verwerking met Photo Collect?

Nee. Het gebruik van Photo Collect verandert niets aan de rechtsgrondslag van toestemming (zie hierboven).

Moet er een alternatieve verwerking worden aangeboden zonder Photo Collect ?

Nee. Als Photo Collect de geselecteerde serviceprovider en verwerker is, kan het bedrijf het hele fotoproces centraal afhandelen via Photo Collect .

Noch art. 6 (rechtsgrondslag), noch art. 13 (informatieverplichtingen), noch art. 28 (orderverwerking) vereisen dat werknemers kunnen kiezen hoe hun gegevens worden verwerkt of welk systeem hiervoor wordt gebruikt.

Zolang de verwerking rechtmatig, geoormerkt, gegevensbeschermingsvriendelijk en transparant is, is er geen wettelijke verplichting om andere software of verwerkingsmethoden aan te bieden.

Hoe moeten werknemers worden geïnformeerd over gegevensverwerking?

Art. 13 GDPR regelt de informatieverplichtingen die een bedrijf heeft ten opzichte van werknemers zodra persoonsgegevens worden verwerkt - d.w.z. zelfs als er geen toestemming is vereist. Dit betekent dat zelfs als de foto voor de werknemerspas wordt verwerkt op basis van gerechtvaardigd belang of contractuitvoering, de werkgever werknemers transparant moet informeren over wat er met de foto gebeurt.

Bijvoorbeeld:

Als onderdeel van je arbeidsrelatie hebben we een foto van je nodig om een gepersonaliseerde ID-kaart voor werknemers te maken en om toegangscontrole in het bedrijf mogelijk te maken. De rechtsgrondslag hiervoor is Art. 6 para. 1 lit. b GDPR (uitvoering van de arbeidsrelatie) en Art. 6 para. 1 lit. f GDPR (legitiem belang bij toegangsbeveiliging).

Uw foto wordt vastgelegd en verwerkt met de softwarePhoto Collect" van Visible Solutions AG, Zürich. Photo Collect verwerkt de gegevens uitsluitend volgens onze gedocumenteerde instructies en uitsluitend voor het maken, controleren en technisch verwerken van uw foto. De gegevens worden opgeslagen in een ISO 27001-gecertificeerd datacentrum in Zwitserland, pseudoniem verwerkt en na succesvolle export automatisch gewist. Metadata worden uiterlijk na 90 dagen verwijderd. Verdere technische en organisatorische maatregelen en subverwerkers zijn gedocumenteerd in ons orderverwerkingscontract.

Je hebt recht op informatie, correctie en verwijdering van je gegevens, tenzij deze nog nodig zijn voor het aanmaken of gebruiken van de werknemerspas. Meer informatie kunt u vinden in ons algemene privacybeleid voor werknemers.

Moeten werknemers hun eigen smartphone gebruiken?

Een verplichting om privéapparaten te gebruiken (BYOD) is problematisch volgens het arbeidsrecht, in ieder geval in Duitsland en Zwitserland (het arbeidsrecht kan verschillen in andere landen). De werkgever kan niet eisen dat een werknemer zijn privéapparaat voor werkdoeleinden gebruikt (Duitsland volgens § 106 GewO, Zwitserland volgens art. 327 lid 1 OR). Er moet dus een alternatief beschikbaar zijn. Typische alternatieven zijn de fotokiosk bij de receptie of het vastleggen van foto's via een app in het loket.

Naast uploaden via een smartphone (BYOD of smartphone van het bedrijf) biedt Photo Collect andere kanalen die parallel kunnen worden gebruikt, dus er is geen BYOD-verplichting:

• Zelfbedieningsfotokiosk op de locatie
• Photo Collect app voor HR medewerkers, receptie, kassa
• API-integratie in intranet of werknemersportalen
• Directe webcambediening

Hiermee voldoet u aan de arbeidsrechtelijke verplichting om een redelijk alternatief aan te bieden.

Hoe lang kunnen foto's worden opgeslagen?

Voor foto's geldt het GDPR: zo kort als mogelijk, zo lang als nodig. Het is belangrijk om de Photo Collect als gegevensverwerker en de bedrijfskant als gegevensbeheerder gescheiden te houden:

Photo Collect is bewust geen opslaglocatie voor de lange termijn, maar een verwerkingshulpmiddel: Na de verwerking worden de foto's onmiddellijk overgebracht naar het systeem van de klant. Photo Collect houdt zich aan de in het orderverwerkingscontract vastgelegde termijnen - zoals het onmiddellijk verwijderen van de foto's na een succesvolle export en het automatisch verwijderen van de metadata na 90 dagen (of individueel geconfigureerd voor elke klant).

De klant bepaalt als verwerkingsverantwoordelijke de interne verwijderingstermijnen van het bedrijf. Sommige bedrijven slaan foto's van werknemers niet permanent op, maar verwijderen ze direct nadat de kaart is afgedrukt. Dit is de verantwoordelijkheid van de klant. De foto's moeten uiterlijk worden verwijderd wanneer werknemers het bedrijf verlaten.

Zijn de foto's biometrische gegevens volgens Art. 9 GDPR?

De vraag of foto's meetellen als biometrische gegevens in de context van Photo Collect leidt vaak tot onzekerheid. Het is waar dat een persoon over het algemeen identificeerbaar is op een foto. Deze identificeerbaarheid alleen maakt een foto echter nog geen biometrische gegevens in de zin van art. 9 GDPR. De beslissende factor is of de foto op zodanige wijze wordt verwerkt dat een persoon duidelijk wordt geïdentificeerd of geauthenticeerd op basis van zijn biometrische kenmerken. Dit is precies waar het juridische onderscheid om de hoek komt kijken: Een normale portretfoto die slechts wordt opgeslagen of technisch wordt verwerkt, valt niet automatisch onder de strengere regels voor biometrische gegevens.

In Photo Collect wordt het gezicht daarom niet gebruikt voor identificatie of voor vergelijking met andere databases. De software voert alleen functionele analyses uit om de foto technisch voor te bereiden op het beoogde doel, bijvoorbeeld om de persoon in het beeld te centreren, de kwaliteit te controleren of de achtergrond te verwijderen. Deze verwerkingsstappen dienen uitsluitend om de foto te optimaliseren en niet om de identiteit van een persoon vast te stellen of te verifiëren. Het controleren of de persoon de juiste werknemer is, wordt buiten het systeem uitgevoerd en valt onder de verantwoordelijkheid van het bedrijf.

Dit geldt ook als op basis van e-mailadressen die bij de gegevensrecords worden verstrekt, conclusies kunnen worden getrokken over echte namen. De verwerking van foto's met Photo Collect blijft een normale verwerking van persoonsgegevens, maar niet de verwerking van biometrische gegevens in overeenstemming met art. 9 GDPR.

Welke AI-methoden voor fotobewerking zijn toegestaan?

Verwerking met AI gaat over welke AI-methoden worden gebruikt: Is de persoon op de afbeelding synthetisch geregenereerd (GenAI), biometrisch geïdentificeerd of wordt AI alleen gebruikt om de hoofdhouding te analyseren, de achtergrond te verwijderen en het gezicht te centreren? Dit onderscheid is cruciaal, omdat er verschillende vereisten voor gegevensbescherming gelden, afhankelijk van welke methode wordt gebruikt. En volgens de GenAI-procedures mag het beeld niet langer worden gebruikt voor veiligheidsrelevante gebieden zoals ID-kaarten van werknemers.

Ontdek in het artikel welke AI-gebaseerde verbeteringen zijn toegestaan, waar de grenzen liggen en hoe bedrijven de wettelijke vereisten correct kunnen categoriseren. Beeldverbeteringen met AI - wat is toegestaan?

Kunnen echte namen worden gebruikt om mensen aan te spreken?

Een centraal principe van de GDPR is dataminimalisatie: bedrijven mogen alleen die gegevens verzamelen en verwerken die absoluut noodzakelijk zijn voor het betreffende doel. De echte naam van de betrokken persoon is echter niet vereist voor het verzamelen en verwerken van een foto - of dit nu voor een ID-kaart voor werknemers is of voor beveiligingsgerelateerde identificatieprocessen. Photo Collect volgt dit principe consequent en importeert daarom bewust geen namen in het systeem of gebruikt ze niet in uitnodigingen voor uploads. In plaats daarvan vindt de toewijzing uitsluitend plaats via technische identificatiemiddelen zoals personeels- of klantnummers, aangevuld met het betreffende contactadres (e-mail of telefoonnummer), dat nodig is voor het verzenden van de uitnodiging.

Conclusie: fotobewerking moet professioneel worden aangepakt

Foto's op de ID-kaart van werknemers lijken triviaal, maar ze vormen een uitdaging op het gebied van gegevensbeschermingswetgeving. Bedrijven moeten:

• Transparant informeren
• BYOD-verplichtingen vermijden
• Toestemmingen netjes beheren
• Houd u strikt aan de deadlines voor verwijdering
• Duidelijke oormerking documenteren
• Zorgen voor technische en organisatorische maatregelen

Photo Collect voldoet aan deze eisen. Dit biedt bedrijven een duidelijk gestructureerd en gegevensbeschermingsvriendelijk proces dat de hele afhandeling van werknemersfoto's aanzienlijk vereenvoudigt. Het fotoproces is niet alleen efficiënter, maar ook technisch en juridisch veiliger.