GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

GDPR - ARBEJDE LIVING

Arbejdsgiveres anvendelse af biometriske data

Der er regler i GDPR om arbejdsgiveres brug af biometriske data, der tilhører deres medarbejdere. Arbejdsgiverne skal være opmærksomme på, at biometriske oplysninger er følsomme personoplysninger, og at reglerne derfor er strengere. Desuden kan konsekvenserne blive værre, hvis virksomheder behandler følsomme personoplysninger i strid med GDPR, end hvis personoplysningerne er “almindelige”. 

Hvad er biometriske data i henhold til GDPR?

Definitionen af “biometriske data” er personoplysninger, der indsamles ved hjælp af en specifik teknisk metode og vedrører en persons fysiske, fysiologiske eller adfærdsmæssige karakteristika med henblik på at bekræfte eller muliggøre identifikation af den pågældende person. 

Arbejdsgivernes brug af medarbejdernes biometriske data

Der skal være en tvingende grund til, at en arbejdsgiver kan anvende biometriske data til medarbejderidentifikation. Bemærk, at effektivitetsårsager ikke vejer lige så meget som sikkerhedsmæssige årsager. 

Eksempler på, hvad virksomheden skal overveje: 

  • Formålet med behandlingen. 
  • Typen af biometriske oplysninger. 
  • Opbevaringsperioden for de indsamlede data. 
  • Risikoen ved behandling. 
  • Sikkerhedsforanstaltninger, der skal gennemføres. 
What breaches of the GDPR can lead to an administrative fine?

Eksempler på biometriske data

  • Ansigtsgenkendelse
  • Anerkendelse af Iris
  • Stemmegenkendelse
  • Retinal scanning
  • Fingeraftryk

Rejsendes anvendelse af ansigtsgenkendelse i lufthavne

Den franske databeskyttelsesmyndighed anmodede om en udtalelse fra Det Europæiske Databeskyttelsesråd om anvendelsen af ansigtsgenkendelse af rejsende i lufthavne. Databeskyttelsesrådet bemærkede, at en sådan behandling kan tillades, men at både luftfartsselskaber og lufthavne bør anvende andre metoder, der er mindre følsomme over for privatlivets fred. Konsekvenserne af et eventuelt misbrug af biometriske data kan være alvorlige. For eksempel er der risiko for identitetskapring, og derfor er det godt at undgå at behandle en sådan type data, medmindre det er absolut nødvendigt. 

Skolen blev idømt en bøde for at bruge ansigtsgenkendelse til at registrere elevernes fremmøde

Gymnasiebestyrelsen i Skellefteå kommune i Sverige overtrådte reglerne i GDPR, da de brugte ansigtsgenkendelse til tilstedeværelseskontrol via et kamera. Gymnasienævnet oplyste, at de havde fået samtykke til behandlingen, og at det derfor var tilladt. På den anden side fandt den svenske databeskyttelsesmyndighed, at magtforholdet mellem eleverne og nævnet er ulige. Derfor er brugen af samtykke som retsgrundlag for behandlingen ikke tilladt, da samtykket i dette tilfælde var ugyldigt.

For at behandlingen af biometriske oplysninger er lovlig og ikke i strid med databeskyttelsesforordningens grundlæggende principper, er det også nødvendigt, at formålet med behandlingen ikke kan opnås på en mindre privatlivsfølsom måde. Tilstedeværelseskontrol kan dog foretages på anden måde uden brug af biometriske data. Det er derfor ikke tilladt at foretage tilstedeværelseskontrol ved hjælp af biometriske data. 

Konsekvensen for skolen på grund af deres brug af ansigtsgenkendelse til registrering af elevernes fremmøde var en bøde på 200 000 SEK.

Biometriske data er en særlig kategori af personoplysninger, der er følsomme

I henhold til GDPR er biometriske oplysninger følsomme personoplysninger. Det samme gælder oplysninger om en persons helbred, religiøse overbevisning, politiske anskuelser, seksuelle orientering osv. Disse oplysninger udgør i henhold til databeskyttelsesforordningens artikel 9 såkaldte “særlige kategorier af personoplysninger”, også kaldet “følsomme personoplysninger”. 

Behandling af følsomme personoplysninger er forbudt i henhold til den generelle regel, medmindre behandlingen er omfattet af en undtagelse i artikel 9 i GDPR. Reglerne er dog strengere ved behandling af følsomme personoplysninger. For eksempel kræver det bedre organisatoriske og tekniske sikkerhedsforanstaltninger for at beskytte personoplysninger mod uautoriseret ændring, adgang og tab. 

Desuden er det mere sandsynligt, at den virksomhed, der er den dataansvarlige, skal indberette et muligt brud på persondatasikkerheden til tilsynsmyndigheden inden for 72 timer efter opdagelsen, hvis bruddet involverer følsomme personoplysninger.

Hvilket retsgrundlag kan arbejdsgiveren anvende, når der anvendes biometriske medarbejderoplysninger?

Sensitive personal data according to GDPR

Samtykke

Som hovedregel kan samtykke ikke anvendes som retsgrundlag af en arbejdsgiver, der ønsker at identificere sine ansatte ved hjælp af biometriske data. Dette skyldes, at samtykket ikke med sikkerhed kan fastslås at være givet frivilligt, da der er et ulige magtforhold mellem arbejdstageren og arbejdsgiveren. Det betyder, at samtykket ikke opfylder kravene til gyldige samtykker i henhold til GDPR.

What is the definition of anonymised data?

Retlig forpligtelse

Hvis en lov eller kollektiv overenskomst, som arbejdsgiveren er part i, indeholder de fornødne garantier, kan det være tilladt at behandle arbejdstageres biometriske data på grundlag af loven eller den kollektive overenskomst.

Udarbejdelse af en konsekvensanalyse

Det kan være nødvendigt for virksomheden at udarbejde en konsekvensanalyse vedrørende databeskyttelse, inden virksomheden begynder at behandle biometriske data. For eksempel skal en virksomhed, der identificerer medarbejdere gennem et indrejsesystem, der anvender biometriske data, såsom ansigtsgenkendelse eller fingeraftryk, udarbejde en konsekvensanalyse, inden behandlingen påbegyndes. Desuden kan det være hensigtsmæssigt at anmode om en forudgående høring af den ledende databeskyttelsesmyndighed. 

Mere info om GDPR i arbejdstjenesten

Overvågning og kontrol af medarbejdere på arbejdspladsen

Når en virksomhed overvåger sine medarbejdere på arbejdspladsen og behandler deres personoplysninger, skal virksomheden overholde GDPR. Derudover er det vigtigt at huske på, at der kan være andre arbejdsretlige love, der regulerer tilsynet med og kontrollen med medarbejderne på arbejdspladsen. Det er normalt ikke tilladt regelmæssigt at overvåge, hvor længe de holder pause, eller hvordan opgaverne udføres. Det kan dog være berettiget at have kameraovervågning i et lager, der indeholder dyre produkter. Bemærk venligst, at det kan være nødvendigt for virksomheden at foretage en konsekvensanalyse, inden behandlingen påbegyndes.

Vil du lære mere?

Læs mere
Scroll to Top