Det finns arbetsgivare som vill behandla biometriska personuppgifter tillhörande anställda, såsom fingeravtryck, för att de ska logga in i vissa system. Det kan vara tillåtet med sådan behandlig, men det krävs tungt vägande skäl. Dessutom är reglerna striktare då, än vid behandling av ”vanliga personuppgifter”.
Är biometriska personuppgifter känsliga personuppgifter enligt GDPR?
Ja, biometriska personuppgifter utgör en särskild kategori av personuppgifter enligt artikel 9 i GDPR, även kallat känsliga personuppgifter. Enligt huvudregeln i GDPR är det förbjudet att behandla känsliga personuppgifter, men det finns några undantag från denna huvudregel.
- Vad är biometriska personuppgifter? Biometriska personuppgifter är när personuppgifter samlas in genom en särskild teknisk process, och avser antingen en individs fysiska, fysiologiska eller beteendemässiga kännetecken och som därmed gör det möjligt att identifiera eller bekräfta identiteten hos individen.
Arbetsgivare som vill behandla biometriska personuppgifter: Är det tillåtet?
Det kan vara tillåtet för arbetsgivare att behandla biometriska personuppgifter tillhörande de anställda. Normalt brukar det innebära ett för stort intrång i de anställdas integritet, men det kan finnas undantag som ändå gör behandlingen tillåten. För att det ska vara tillåtet måste företaget först och främst ha en rättslig grund för behandlingen.
Samtycke brukar inte vara lämpligt att använda som rättslig grund, eftersom det råder ett ojämlikt maktförhållande mellan arbetsgivaren och arbetstagaren. Det kan finnas stöd för att behandla biometriska uppgifter i en lag eller ett kollektivavtal som innehåller lämpliga skyddsåtgärder. Vid sådana fall skulle det kunna vara aktuellt med ett undantag från förbudet mot behandlingen av denna typ av känsliga personuppgifter.
Får arbetsgivare behandla biometriska personuppgifter för närvarokontroll?
Arbetsgivare ska inte använda de anställdas biometriska personuppgifter, såsom ansiktsigenkänning, för närvarokontroll. Anledningen är att det finns mindre integritetskänsliga tillvägagångssätt att använda, för att kunna uppnå samma resultat. I Sverige fick en skola en sanktionsavgift efter att ha använt ansiktsigenkänning för närvarokontroll av elever.
Arbetsgivare som vill behandla biometriska personuppgifter: Vilka är kraven?
Arbetsgivare måste ha tungt vägande skäl för att få behandla sina anställdas biometriska personuppgifter. Observera att säkerhetsskäl väger tyngre än effektivitetsskäl.
Följande är exempel på några frågor att ha i beaktande i bedömningen:
- Vilken typ av verksamhet bedriver företaget?
- Vad är syftet med behandlingen?
- Vad är det för typ av biometriska personuppgifter som kommer att bli behandlade?
- Hur lång är lagringstiden?
- Vad är riskerna för missbruk av personuppgifterna?
- Kommer personuppgifterna att vara lagrade lokalt eller centralt?
- Vilka tekniska och organisatoriska åtgärder kommer företaget vidta för att minimera riskerna med behandlingen?
Företaget kan behöva göra en konsekvensbedömning
Företaget kan behöva göra en konsekvensbedömning innan företaget påbörjar en behandling av biometriska personuppgifter. Exempelvis om en arbetsgivare vill införa ett inpasseringssystem på arbetsplatsen, där de anställda passerar genom ansiktsigenkänning eller fingeravtryck. Då krävs en konsekvensbedömning innan behandlingen påbörjas.
