GDPR – arbeidslivet
Arbeidsgivers bruk av biometriske data
Det er regler i GDPR om arbeidsgivers bruk av biometriske data om sine ansatte. Arbeidsgivere må huske på at biometriske data er sensitive personopplysninger, og derfor er reglene strengere. I tillegg kan konsekvensene bli verre hvis selskaper behandler sensitive personopplysninger i strid med GDPR enn hvis personopplysningene er «vanlige».
Hva er biometriske data under GDPR?
Definisjonen av «biometriske opplysninger» er personopplysninger som samles inn ved hjelp av en bestemt teknisk metode knyttet til en persons fysiske, fysiologiske eller atferdsmessige egenskaper, for å bekrefte eller gjøre det mulig å identifisere vedkommende.
Arbeidsgivers bruk av arbeidstakernes biometriske data
Det må være en overbevisende grunn for en arbeidsgiver å bruke biometriske data for identifisering av ansatte. Vær oppmerksom på at effektivitetshensyn ikke veier like mye som sikkerhetshensyn.
Eksempler på hva foretaket må ta hensyn til, er:
- Formålene med behandlingen.
- Typen av biometriske data.
- Oppbevaringsperioden for de innsamlede dataene.
- Risikoen ved behandlingen.
- Sikkerhetstiltak som bør iverksettes.
Eksempler på biometriske data
- Ansiktsgjenkjenning
- Iris-anerkjennelse
- Stemmegjenkjennelse
- Skanning av neseinntrenging
- Fingeravtrykk
Ansiktsgjenkjenning av reisende på flyplasser
Den franske databeskyttelsesmyndigheten ba om en uttalelse fra European Data Protection Board(EDPB) om bruk av ansiktsgjenkjenning av reisende på flyplasser. EDPB bemerket at slik behandling kan være tillatt, men at både flyselskaper og flyplasser bør bruke andre midler som er mindre følsomme for personvern. Konsekvensene av et mulig misbruk av biometriske data kan være alvorlige. For eksempel er det en risiko for identitetsskaping, derfor er det bra å unngå å behandle slike typer data med mindre det er absolutt nødvendig.
Skolen ble bøtelagt for å bruke ansiktsgjenkjenning til å registrere elevers oppmøte
Gymnasienämnden i Skellefteå kommun (Upper Secondary Board, Skellefteå kommune, Sverige) brøt reglene i GDPR da de brukte ansiktsgjenkjenning for å sjekke oppmøte gjennom et kamera. Øvre Sekundærnemnda opplyste at de hadde innhentet samtykke til behandlingen, og at det derfor var tillatt. På den annen side mente den svenske DPA at maktforholdet mellom studentene og styret er ulikt. Bruk av samtykke som rettslig grunnlag for behandlingen er derfor ikke tillatt, da samtykket i dette tilfellet var ugyldig.
For at behandlingen av biometriske data skal være lovlig og ikke krenke de grunnleggende prinsippene i GDPR, er det også nødvendig at formålet med behandlingen ikke kan oppnås på en mindre personvernsensitiv måte. Tilstedeværelseskontroller kan imidlertid utføres på andre måter, uten bruk av biometriske data. Det er derfor ikke tillatt å utføre oppmøtekontroller ved hjelp av biometriske data.
Konsekvensen for skolen på grunn av deres bruk av ansiktsgjenkjenning for registrering av elevenes oppmøte ble en bot på SEK 200 000.
Biometriske data er en spesiell kategori av personopplysninger som er sensitive
Ifølge GDPR er biometriske data sensitive personopplysninger. Det samme gjelder opplysninger om en persons helse, religiøse overbevisning, politiske meninger, seksuelle legning osv. Disse opplysningene utgjør i henhold til artikkel 9 i GDPR «særlige kategorier av personopplysninger», også kalt «sensitive personopplysninger».
Behandling av sensitive personopplysninger er som hovedregel forbudt med mindre det er omfattet av et unntak fastsatt i artikkel 9 i GDPR. Reglene er imidlertid strengere ved behandling av sensitive personopplysninger. For eksempel krever det bedre organisatoriske og tekniske sikkerhetstiltak for å beskytte personopplysninger mot uautorisert endring, tilgang og tap.
I tillegg er det mer sannsynlig at det behandlingsansvarlige selskapet må varsle tilsynsmyndigheten om et mulig brudd på personopplysningssikkerheten innen 72 timer etter påvisning, dersom bruddet omfatter sensitive personopplysninger.
Hvilket rettslig grunnlag kan arbeidsgiver bruke ved bruk av ansattes biometriske data?
Samtykke
As a general rule, consent cannot be used as the legal basis by an employer who wishes to identify its employees through biometric data. This is because the consent cannot be determined with certainty to be freely given, as there is an unequal power relationship between the employee and the employer. This means that the consent does not meet the requirements for valid consents under the GDPR.
Juridisk forpliktelse
Når en lov eller en tariffavtale som arbeidsgiveren er part i, inneholder hensiktsmessige garantier, kan det være tillatt å behandle biometriske data om ansatte på grunnlag av loven eller tariffavtalen.
Utarbeide en konsekvensutredning
Det kan være nødvendig for foretaket å utarbeide en vurdering av personvernkonsekvenser før foretaket begynner å behandle biometriske opplysninger. For eksempel bør et selskap som identifiserer ansatte gjennom et oppføringssystem som bruker biometriske data, for eksempel ansiktsgjenkjenning eller fingeravtrykk, etablere en konsekvensvurdering før behandlingen starter. I tillegg kan det være hensiktsmessig å be om en forhåndskonsultasjon av den ledende DPA.
Mer informasjon om GDPR i arbeidslivet
Overvåking og kontroll av ansatte på arbeidsplassen
Når et selskap overvåker sine ansatte på arbeidsplassen og behandler deres personopplysninger, må det overholde GDPR. I tillegg er det viktig å huske på at det kan være andre arbeidslover som regulerer tilsyn og kontroll av ansatte på arbeidsplassen. Regelmessig overvåking av varigheten av pausene og utførelsen av deres oppgaver er normalt ikke tillatt. Det kan imidlertid være berettiget å ha kameraovervåking på et lager som inneholder dyre produkter. Vær oppmerksom på at selskapet kan ha behov for å foreta en konsekvensutredning før behandling påbegynnes.