רשות הגנת הפרטיות בהולנד הטילה קנס של כשלושת-רבעי מיליון אירו על מעסיק שחייב את עובדיו להשתמש בשעון נוכחות ביומטרי הכרוך באיסוף טביעות האצבע שלהם. הרשות קבעה כי מידע ביומטרי נחשב לקטגוריה מיוחדת של מידע לפי סעיף 9 ל-GDPR ומשכך, הוא ניתן לאיסוף ועיבוד רק בכפוף להסכמה חופשית וספציפית של העובד או בשל צורכי אבטחה יוצאי דופן. הרשות ההולנדית פסקה כי אף אחד משני ההיתרים הללו לא ישימים למעסיק. מעסיקים, ככלל, לא רשאים להסתמך על הסכמתם החופשית של עובדיהם בשל פערי הכוחות ביניהם והתלות של העובדים במעסיק. יתר על כן, העובדים במקרה הזה סברו כי איסוף הנתונים הביומטריים שלהם הוא הכרחי ולא נתון לבחירתם החופשית. וגם - שעון הנוכחות שבשימוש לא קשור באבטחת גישה למתחם ממודר או מסווג במפעל.
לדברי נציג רשות הגנת הפרטיות בהולנד, "מידע ביומטרי נחשב למידע רגיש שזוכה להגנה מוגברת בחוק. אם המידע נופל לידיים לא מורשות, הוא עלול להוביל לפגיעה חמורה בזכויות הפרט, אם למשל ינוצל לרעה לסחיטה או גניבת זהות. בניגוד לסיסמה, טביעת אצבע לא ניתנת להחלפה וזליגה שלה יכולה לגרום לפגיעה עצמוה וממושכת לאורך כל חייו של האדם".
הארגון שנקנס ערער על החלטה לבית המשפט ושמו נאסר לפרסום. מקור: הודעה לעיתונות של רשות הגנת הפרטיות בהולנד.