• No results found

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet"

Copied!
7
0
0

Loading.... (view fulltext now)

Download now ( 7 Page )

Full text

(1)

Datum Diarienr

2010-11-12 1765-2009

The Phone House AB 131 04 NACKA

Tillsyn enligt personuppgiftslagen (1998:204) – användning av biometri inom arbetslivet

Datainspektionens beslut

Datainspektionen bedömer att The Phone House AB:s (företaget) användning av fingeravtrycksavläsning för närvarokontroll och tidrapportering avseende anställda är tillåten, under förutsättning att bolaget inhämtar samtycken från de anställda enligt 10 § personuppgiftslagen.

För att det ska vara fråga om giltiga samtycken enligt personuppgiftslagen krävs att de anställda har fått tydlig och utförlig information om behandling- en. Informationen ska uppfylla de krav som uppställs i 25 § personuppgiftsla- gen. De anställda måste vidare erbjudas en alternativ metod till den biomet- riska behandlingen och får inte utsättas för någon direkt eller indirekt på- tryckning att välja det alternativ som innebär behandling av biometriska upp- gifter.

Datainspektionen förutsätter att företaget iakttar ovan angivna synpunkter.

Med dessa synpunkter avslutas tillsynsärendet. Datainspektionen kan komma att följa upp ärendet.

Redogörelse för tillsynsärendet

Datainspektionen har genom ett anonymt klagomål uppmärksammats på att företaget infört ett system med fingeravtrycksavläsning i sina butikslokaler.

Med anledning av vad som gjorts gällande i klagomålet har Datainspektionen genomfört en inspektion av företaget och den behandling av personuppgifter som aktualiseras då företaget använder fingeravtrycksavläsare i sin

verksamhet. Protokoll över inspektionen har upprättats och översänts till företaget, som har yttrat sig.

(2)

Vid inspektionen och den utredning som i övrigt skett i ärendet har bland annat följande framkommit.

Företaget har infört ett system för biometrisk verifiering (fingeravtrycksavläs- ning) i sina butiker. Den biometriska verifieringen används för närvarokon- troll och tidrapportering av anställda. En av anledningarna till att företaget valt biometrisk verifiering, är att företaget upplevt problem med så kallad kompisrapportering, det vill säga att arbetskollegor ”stämplat in” för varandra, vilket i förlängningen har påverkan på bland annat utbetald lön. Ett annat av företaget uppgivet skäl till den biometriska verifieringen är att det är ett effek- tivt och enkelt sätt att logga in i systemet, vilket underlättar för personalen.

Företaget har övervägt alternativa metoder såsom single sign-on eller passer- kort. Dessa lösningar råder dock inte bot på problemet med kompisrapporte- ring.

När butikspersonalen påbörjar sin anställning sker en enrollering (inskanning och registrering) av deras fingeravtryck. Den inskannade bilden omvandlas till en binär sträng, varefter den inskannade bilden raderas från systemet.

Fingeravtrycket kan inte återskapas från den binära strängen. Den binära sträng som skapas är systemunik och det finns i princip inget användnings- område för den utanför systemet. Strängen raderas vid anställningens slut.

Informationen lagras på tre servrar i England, varav två finns i outsourcade datacenter. Företaget har upprättat biträdesavtal med leverantörerna av data- centren.

Varje gång den anställde påbörjar ett arbetspass, går på lunch, kommer tillba- ka från lunch, avslutar ett arbetspass eller dylikt, anger denne sin anställ- ningskod samt sätter sitt finger mot en särskild terminal som skannar av fing- eravtrycket och skapar en binär sträng enligt ovan beskrivet förfarande. Den binära strängen som skapas jämförs därefter mot den sträng som skapats vid enrolleringen, varefter terminalen svarar med ett ”ja” eller ”nej”.

Företaget anser att den aktuella insamlingen av biometriska uppgifter om de anställda i och för sig är tillåten med stöd av en intresseavvägning enligt 10 § punkten f) personuppgiftslagen, men inhämtar trots detta samtycke från be- rörda arbetstagare. Företaget har tagit fram en särskild samtyckesblankett, som enskilda skriver under i samband med anställning. Företaget lämnar dessutom information om behandlingen innan enrolleringen utförs. Företaget anser att de anställda i och med enrolleringen, genom så kallat konkludent handlande, samtycker till behandlingen.

(3)

Anställda som av olika skäl inte vill använda systemet med biometrisk verifie- ring har möjlighet att istället logga in med anställningsnummer. Enligt före- taget är det två personer som valt detta alternativ.

Skäl för beslutet

Gäller personuppgiftslagens bestämmelser för system som bygger på fingeravtrycksavläsning?

Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Enligt definitionen i 3 § personuppgiftslagen är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet att betrakta som personuppgifter.

De fingeravtryck som automatiskt behandlas av företaget är att beteckna som personuppgifter, varför personuppgiftslagens bestämmelser måste följas.

Vilka bestämmelser i personuppgiftslagen ska tillämpas på behandlingen?

Personuppgiftslagen kan sägas innehålla två skilda regelverk. Vilket regelverk som ska tillämpas beror på hur personuppgifterna hanteras. Ska uppgifterna ingå i en påtagligt strukturerad samling av personuppgifter, såsom i en data- bas eller ett ärendehanteringssystem, måste i princip alla regler i personupp- giftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i ostrukturerat material, till exempel uppgifter i löpande text eller uppgifter i ljud- eller bildupptagningar utan koppling till en registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen (5 a § första stycket per- sonuppgiftslagen). Sådan ostrukturerad behandling får dock inte utföras om den innebär en kränkning av registrerades personliga integritet.

Det aktuella systemet med fingeravtrycksavläsning innebär att personuppgif- ter fortlöpande lagras i databaser i syfte att identifiera arbetstagare. Under dessa förutsättningar kan det inte anses vara fråga om en sådan behandling av personuppgifter i ostrukturerat material som avses i 5 a § personuppgiftsla- gen. Samtliga bestämmelser i personuppgiftslagen är därmed i princip till- lämpliga på behandlingen.

Är systemet med fingeravtrycksavläsning för ändamålen närvarokontroll och arbetstidsrapportering tillåten?

I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka fall det överhuvudtaget är tillåtet att behandla personuppgifter. Huvudregeln är att personuppgifter får behandlas med stöd av samtycke, i annat fall krävs att behandlingen är nödvändig för att uppfylla vissa i paragrafen närmare angivna syften.

(4)

Enligt 10 § punkten f) får till exempel personuppgifter behandlas med stöd av en så kallad intresseavvägning. Det krävs då att behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsan- svarige ska kunna tillgodoses och att detta intresse väger tyngre än den regi- strerades intresse av skydd mot kränkning av den personliga integriteten. Hur en sådan intresseavvägning utfaller beror på omständigheterna i det enskilda fallet. Vid denna bedömning bör man bland annat ta hänsyn till ändamålen med behandlingen och om arbetsgivaren följer reglerna i personuppgiftsla- gen, exempelvis i fråga om kravet på information, väl avvägda gallringsrutiner samt skydd mot obehörig åtkomst. Innehållet i fackliga överenskommelser kan också ha betydelse för om behandling av personuppgifter i kontrollsyfte är tillåten med stöd av en intresseavvägning enligt personuppgiftslagen.

I detta sammanhang är det också värt att framhålla att den arbetsgrupp som inrättats enligt artikel 29 i dataskyddsdirektivet (den så kallade 29-gruppen), och som är EU:s oberoende rådgivande instans för dataskydd och skydd av privatlivet, har antagit ett arbetsdokument om biometri som syftar till att bi- dra till en effektiv och enhetlig tillämpning av de nationella bestämmelserna om dataskydd inom EU (12168/02/SV WP 80). 29-gruppen har i detta doku- ment uttalat bland annat följande:

En fara i samband med biometrisk databehandling är i synnerhet att en ökad användning av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag […]

När det gäller behörighetskontroll (autentisering/verifiering) är det arbets- gruppens uppfattning att biometriska system knutna till fysiska drag som inte lämnar spår (till exempel handens struktur, men inte fingermönster) eller biometriska system knutna till fysiska drag som lämnar spår men inte lagrar uppgifter som innehas av någon annan än den person som berörs (det vill säga uppgifterna lagras inte i utrustningen för behörighetskontroll eller lagras i en central databas) medför lägre risk för skyddet av individens grundläggande fri- och rättigheter. Flera datainspektioner stödjer denna åsikt och anser att biometrisk information inte bör lagras i en databas, utan uteslutande i utrust- ning som endast användaren har tillgång till, såsom ett smartkort, en mobiltele- fon eller ett bankkort. I applikationer där autentisering/verifiering kan ske utan att biometriska uppgifter behöver lagras centralt bör med andra ord överdriven identifieringsteknik inte tillämpas.

Regeringsrätten har i ett avgörande (RÅ 2008 ref. 83) tagit ställning till om behandling av biometriska data i form av fingeravläsning i samband med skolmåltider varit tillåten med stöd av en intresseavvägning enligt person- uppgiftslagen. Sakomständigheterna i det målet var liknande de som förelig-

(5)

ger i nu aktuella ärende, det var till exempel fråga om behandling av partiella fingeravtryck i en central databas. Regeringsrätten, som ansåg att den aktuella behandlingen endast var tillåten under förutsättning att samtycke inhämtas, uttalade bland annat följande:

Behandling av biometriska uppgifter i identifieringssyfte kan av många uppfat- tas som känslig. Det nu aktuella systemet bygger på att uppgifterna finns i da- tabaser som är tillgängliga för kommunen och att uppgifterna lagras under en förhållandevis lång tid. Den tekniska utformningen av systemet är alltså sådan att behandlingen får anses påkalla att särskilda integritetshänsyn tas. Mot den bakgrunden och då kommunens intresse av att identifiera eleverna torde kunna tillgodoses även med andra metoder finner Regeringsrätten att behandlingen kan vara tillåten endast under förutsättning att samtycke inhämtats.

När det gäller den behandling av personuppgifter som aktualiseras i detta ärende gör Datainspektionen följande bedömning:

Användningen av system för biometrisk verifiering inger betänkligheter ur integritetshänseende. Biometriska uppgifter är unika för varje individ och är i många fall dessutom permanenta, vilket möjliggör en livslång

identifiering av en person. Användningen av biometriska uppgifter ger även upphov till integritetsrisker som kan vara svåra att överblicka i dagsläget. Sy- nen på användningen av system som bygger på biometri bör därför vara re- striktiv. Även om det i det aktuella fallet inte är fråga om att registrera full- ständiga fingeravtryck kan registreringen uppfattas som ett intrång i den per- sonliga integriteten. Med hänsyn till 29-gruppens uttalande och regeringsrät- tens avgörande ovan, anser vi att den aktuella behandlingen av biometriska uppgifter innebär ett integritetsintrång som inte står i rimlig proportion till ändamålen med behandlingen. Behandlingen är därför otillåten med stöd av en intresseavvägning enligt 10 § punkten f) personuppgiftslagen och får en- dast utföras med stöd av samtycken från de registrerade.

För att ett samtycke skall vara giltigt enligt personuppgiftslagen krävs att det utgör en frivillig, särskild och otvetydig viljeyttring. De registrerade ska vidare ha fått tillräcklig information om behandlingen för att kunna ta ställning till eventuella samtycken. Behandling av biometriska uppgifter i arbetslivet med stöd av samtycke begränsas till sådana situationer där de anställda har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Det innebär bland annat att de an- ställda måste erbjudas en alternativ metod till den biometriska behandlingen – exempelvis möjlighet att logga in genom användarnamn och lösenord istäl- let – samt att han eller hon inte utsätts för någon direkt eller indirekt påtryck- ning att välja det alternativ som innebär behandling av biometriska uppgifter.

(6)

Är situationen sådan att den registrerade i praktiken inte kan avstå, är sam- tycket inte frivilligt.

I ärendet har framkommit att ni informerar de anställda på olika sätt om be- handlingen av biometriska uppgifter. Men det är inte närmare klarlagt vad informationen innehåller. För att de anställda ska kunna lämna ett informerat samtycke måste ni ha informerat dem om behandlingen på det sätt som per- sonuppgiftslagen kräver. I 25 §§ personuppgiftslagen finns regler om vad in- formation ska innehålla. Av bestämmelsen framgår att informationen ska vara tydlig och begriplig och omfatta:

 uppgifter om den som är personuppgiftsansvarig

 ändamålen med behandlingen, det vill säga varför personuppgifterna regi- streras och hur de ska användas

 övrig information som den registrerade behöver känna till, till exempel:

- vilka typer av uppgifter som ska behandlas

- till vilka företag eller andra organisationer (eller typer av dessa) som uppgifterna kan komma att lämnas ut

- om det är frivilligt för den registrerade att lämna uppgifter

- att den registrerade har rätt att begära ett registerutdrag för att kun- na kontrollera vilken information som finns registrerad om honom eller henne

- att den personuppgiftsansvarige är skyldig att på begäran av den re- gistrerade rätta uppgifter som är felaktiga, ofullständiga eller miss- visande

Av den samtyckesblankett som ni har tagit fram och som bifogats ärendet framgår inte om det är frivilligt för de anställda att registrera sina fingerav- tryck. Det framgår inte heller att de biometriska uppgifterna behandlas vid outsourcade datacenter. För att de anställda ska kunna lämna giltiga samtyck- en enligt personuppgiftslagen krävs att ni informerar om detta. Den informa- tionen kan i och för sig lämnas muntligt, men vi rekommenderar ändå att blanketten kompletteras med denna information.

Vi förutsätter att ni beaktar ovan angivna synpunkter och vidtar de åtgärder som eventuellt behövs för att behandlingen ska vara tillåten enligt person- uppgiftslagen. Ärendet avslutas därmed.

(7)

Hur man överklagar

Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skri- velsen vilket beslut som överklagas och den ändring som ni begär. Inspektio- nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om in- spektionen inte själv ändrar beslutet på det sätt ni har begärt.

Oskar Öhrström

References

Download now ( PDF - 7 Page - 327.57 KB )

Related documents

Tillsyn enligt personuppgiftslagen (1998:204) Fackförenings behandling av personuppgifter rörande personer som inte är medlemmar i föreningen

kollektivavtal som slutits mellan Byggnads och Sveriges Byggindustrier i april 2007 innehåller en skyldighet för arbetsgivare inom byggnadssektorn att lämna ut löneuppgifter om

Samråd enligt personuppgiftslagen (1998:204)

Enligt 9 § punkt f) personuppgiftslagen får inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Sluss- ningen av samtal

Tillsyn enligt personuppgiftslagen (1998:204) Socialdemokraternas behandling av personuppgifter i ett centralt medlemsregister

Datainspektionen förelägger därför, med stöd av 45 § första stycket person- uppgiftslagen, Socialdemokraterna att antingen upphöra med att behandla uppgifter om tidigare

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Datainspektionen konstaterar att Danske Bank A/S, Sverige Filial, inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen genom att man via bankens

Tillsyn enligt personuppgiftslagen (1998:204) av 4T Sverige AB

När uppgifter från kreditupplysningsregister inte längre är adekvata eller relevanta för kreditprövningen ska de gallras såvida det inte är nödvändigt att bevara dem för

Tillsyn enligt personuppgiftslagen (1998:204) av Trustly Group AB

se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (c), att de personuppgifter som behandlas är adekvata och relevanta

Tillsyn enligt personuppgiftslagen (1998:204) Uppföljning av beslut i ärende

Datainspektionen konstaterar att kommunstyrelsens instruktioner till personuppgiftsbiträdet om ändamålen för behandling av personuppgifter är för vida och ger utrymme för

Tillsyn enligt personuppgiftslagen (1998:204) Brevo AB

De personuppgifter som Brevo samlar in från och lagrar om privatpersoner (mottagare) som använder tjänsten är personnummer, för- och efternamn, e- postadress och, om kunden