GDPR - Arbetsliv
Arbetsgivares användning av biometriska uppgifter
Det finns regler i GDPR kring arbetsgivares användning av biometriska uppgifter tillhörande dess anställda. Arbetsgivare behöver tänka på att biometriska uppgifter är känsliga personuppgifter och därför är reglerna striktare. Dessutom kan konsekvenserna bli värre om företag behandlar känsliga personuppgifter i strid med GDPR, än om personuppgifterna är ”vanliga”.
Vad är biometriska uppgifter enligt GDPR?
Definitionen av “biometriska uppgifter” är personuppgifter som blivit insamlade genom en särskild teknisk metod och som avser en individs fysiska, fysiologiska eller beteendemässiga kännetecken, för att bekräfta eller möjliggöra identifiering av den individen.
Arbetsgivares användning av biometriska uppgifter om anställda
Det måste finnas ett tungt vägande skäl för att en arbetsgivare ska få använda biometriska uppgifter för identifiering av anställda. Observera att effektivitetsskäl inte väger lika tungt som säkerhetsskäl.
Exempel på vad företaget behöver överväga:
- Syftet med behandlingen.
- Typen av biometriska uppgifter.
- Lagringstiden för insamlad data.
- Riskerna med behandlingen.
- Säkerhetsåtgärder som bör implementeras.
Exempel på biometriska uppgifter
- Ansiktsigenkänning
- Irisigenkänning
- Röstigenkänning
- Näthinneskanning
- Fingeravtryck
Användning av ansiktsigenkänning av resenärer på flygplatser
Den franska dataskyddsmyndigheten begärde ett yttrande från den Europeiska dataskyddsstyrelsen (EDPB) gällande användning av ansiktsigenkänning av resenärer på flygplatser. EDPB konstaterade att det kan vara tillåtet att genomföra sådan behandling, men att både flygbolag och flygplatser bör använda andra metoder som är mindre integritetskänsliga. Konsekvenserna vid ett eventuellt missbruk av de biometriska uppgifterna kan vara allvarliga. Till exempel finns en risk för identitetskapningar, och därför är det bra att undvika att behandla sådan typ av data om det inte är absolut nödvändigt.
Skola fick sanktionsavgift efter användning av ansiktsigenkänning för registrering av elevernas närvaro
Gymnasienämnden i Skellefteå kommun i Sverige bröt mot reglerna i GDPR, när de använde ansiktsigenkänning för närvarokontroll genom en kamera. Gymnasienämnden menade att de hade fått ett samtycke för behandlingen, och att det därför var tillåtet. Däremot ansåg den svenska dataskyddsmyndigheten att maktförhållandet mellan eleverna och nämnden är ojämlikt. Därmed är det inte tillåtet att använda samtycke som rättslig grund för behandlingen, eftersom samtycket i detta fall var ogiltigt.
För att behandlingen av biometriska uppgifter ska vara tillåten och inte ske i strid med de grundläggande principerna i GDPR, krävs det även att syftet med behandlingen inte ska kunna bli uppnått på ett mindre integritetskänsligt sätt. Närvarokontroll går dock att genomföra på annat sätt, utan användning av biometriska uppgifter. Därför är det inte tillåtet att utföra närvarokontroll genom användning av biometriska uppgifter.
Konsekvensen för skolan på grund av deras användning av ansiktsigenkänning för registrering av elevernas närvaro blev en sanktionsavgift på 200 000 svenska kronor.
Uppgifter om biometriska uppgifter är en särskild kategori av personuppgifter som är känsliga
Enligt GDPR är biometriska uppgifter känsliga personuppgifter. Detsamma gäller uppgifter om en individs hälsa, religiösa övertygelse, politiska åsikter, sexuella läggning m.m. Dessa uppgifter utgör enligt artikel 9 i GDPR så kallade “särskilda kategorier av personuppgifter”, även kallade för “känsliga personuppgifter”.
Det är enligt huvudregeln förbjudet att behandla känsliga personuppgifter, om behandlingen inte omfattas av något undantag angivet i artikel 9 i GDPR. Däremot är reglerna striktare vid behandling av känsliga personuppgifter. Till exempel kräver det bättre organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifterna från obehörig ändring, åtkomst och förlust.
Dessutom är sannolikheten högre att företaget som är personuppgiftsansvarig behöver anmäla en eventuell personuppgiftsincident till tillsynsmyndigheten inom 72 timmar från upptäckten, om incidenten innefattar känsliga personuppgifter.
Vilken rättslig grund kan arbetsgivaren använda vid användning av biometriska uppgifter om anställda?
Samtycke
Samtycke kan som huvudregel inte bli använd som rättslig grund av en arbetsgivare som vill identifiera sina anställda genom biometriska uppgifter. Anledningen är att samtycket inte med säkerhet kan fastställas vara frivilligt lämnat, eftersom det råder ett ojämlikt maktförhållande mellan den anställde och arbetsgivaren. Därmed uppfyller inte samtycket kraven för giltiga samtycken enligt GDPR.
Rättslig förpliktelse
Om en lag eller ett kollektivavtal som arbetsgivaren är ansluten till innehåller lämpliga skyddsåtgärder, kan det vara tillåtet att behandla biometriska uppgifter om anställda med stöd i lagen eller kollektivavtalet.
Upprätta en konsekvensbedömning
Det kan vara nödvändigt för företaget att behöva upprätta en konsekvensbedömning om dataskydd, innan företaget börjar behandla biometriska uppgifter. Till exempel ska ett företag som identifierar anställda genom ett inpasseringssystem som använder biometriska uppgifter, såsom ansiktsigenkänning eller fingeravtryck, upprätta en konsekvensbedömning innan behandlingen påbörjas. Dessutom kan det vara lämpligt att begära ett förhandssamråd med den ansvarige dataskyddsmyndigheten.
Mer info om GDPR i arbetslivet
Övervakning och kontroll av anställda på arbetsplatsen
När ett företag övervakar sina anställda på arbetsplatsen och behandlar deras personuppgifter, måste företaget följa GDPR. Dessutom är det viktigt att tänka på att det kan finnas andra lagar inom arbetsrätten som reglerar övervakning och kontroll av anställda på arbetsplatsen. Det är normalt inte tillåtet att regelbundet övervaka hur länge de tar sin rast eller hur arbetsuppgifterna blir utförda. Däremot kan det vara berättigat att ha kamerabevakning i ett lager som innehåller dyra produkter. Observera att företaget kan behöva utföra en konsekvensbedömning innan företaget påbörjar behandlingen.