beslut - Datainspektionen
beslut - Datainspektionen
beslut - Datainspektionen
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Datum Diarienr<br />
2010-11-12 1765-2009<br />
The Phone House AB<br />
131 04 NACKA<br />
Tillsyn enligt personuppgiftslagen (1998:204) –<br />
användning av biometri inom arbetslivet<br />
<strong>Datainspektionen</strong>s <strong>beslut</strong><br />
<strong>Datainspektionen</strong> bedömer att The Phone House AB:s (företaget) användning<br />
av fingeravtrycksavläsning för närvarokontroll och tidrapportering avseende<br />
anställda är tillåten, under förutsättning att bolaget inhämtar samtycken från<br />
de anställda enligt 10 § personuppgiftslagen.<br />
För att det ska vara fråga om giltiga samtycken enligt personuppgiftslagen<br />
krävs att de anställda har fått tydlig och utförlig information om behandling-<br />
en. Informationen ska uppfylla de krav som uppställs i 25 § personuppgiftsla-<br />
gen. De anställda måste vidare erbjudas en alternativ metod till den biomet-<br />
riska behandlingen och får inte utsättas för någon direkt eller indirekt på-<br />
tryckning att välja det alternativ som innebär behandling av biometriska upp-<br />
gifter.<br />
<strong>Datainspektionen</strong> förutsätter att företaget iakttar ovan angivna synpunkter.<br />
Med dessa synpunkter avslutas tillsynsärendet. <strong>Datainspektionen</strong> kan komma<br />
att följa upp ärendet.<br />
Redogörelse för tillsynsärendet<br />
<strong>Datainspektionen</strong> har genom ett anonymt klagomål uppmärksammats på att<br />
företaget infört ett system med fingeravtrycksavläsning i sina butikslokaler.<br />
Med anledning av vad som gjorts gällande i klagomålet har <strong>Datainspektionen</strong><br />
genomfört en inspektion av företaget och den behandling av personuppgifter<br />
som aktualiseras då företaget använder fingeravtrycksavläsare i sin<br />
verksamhet. Protokoll över inspektionen har upprättats och översänts till<br />
företaget, som har yttrat sig.<br />
Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se<br />
Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00<br />
Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Vid inspektionen och den utredning som i övrigt skett i ärendet har bland<br />
annat följande framkommit.<br />
Företaget har infört ett system för biometrisk verifiering (fingeravtrycksavläs-<br />
ning) i sina butiker. Den biometriska verifieringen används för närvarokon-<br />
troll och tidrapportering av anställda. En av anledningarna till att företaget<br />
valt biometrisk verifiering, är att företaget upplevt problem med så kallad<br />
kompisrapportering, det vill säga att arbetskollegor ”stämplat in” för varandra,<br />
vilket i förlängningen har påverkan på bland annat utbetald lön. Ett annat av<br />
företaget uppgivet skäl till den biometriska verifieringen är att det är ett effek-<br />
tivt och enkelt sätt att logga in i systemet, vilket underlättar för personalen.<br />
Företaget har övervägt alternativa metoder såsom single sign-on eller passer-<br />
kort. Dessa lösningar råder dock inte bot på problemet med kompisrapporte-<br />
ring.<br />
När butikspersonalen påbörjar sin anställning sker en enrollering (inskanning<br />
och registrering) av deras fingeravtryck. Den inskannade bilden omvandlas<br />
till en binär sträng, varefter den inskannade bilden raderas från systemet.<br />
Fingeravtrycket kan inte återskapas från den binära strängen. Den binära<br />
sträng som skapas är systemunik och det finns i princip inget användnings-<br />
område för den utanför systemet. Strängen raderas vid anställningens slut.<br />
Informationen lagras på tre servrar i England, varav två finns i outsourcade<br />
datacenter. Företaget har upprättat biträdesavtal med leverantörerna av data-<br />
centren.<br />
Varje gång den anställde påbörjar ett arbetspass, går på lunch, kommer tillba-<br />
ka från lunch, avslutar ett arbetspass eller dylikt, anger denne sin anställ-<br />
ningskod samt sätter sitt finger mot en särskild terminal som skannar av fing-<br />
eravtrycket och skapar en binär sträng enligt ovan beskrivet förfarande. Den<br />
binära strängen som skapas jämförs därefter mot den sträng som skapats vid<br />
enrolleringen, varefter terminalen svarar med ett ”ja” eller ”nej”.<br />
Företaget anser att den aktuella insamlingen av biometriska uppgifter om de<br />
anställda i och för sig är tillåten med stöd av en intresseavvägning enligt 10 §<br />
punkten f) personuppgiftslagen, men inhämtar trots detta samtycke från be-<br />
rörda arbetstagare. Företaget har tagit fram en särskild samtyckesblankett,<br />
som enskilda skriver under i samband med anställning. Företaget lämnar<br />
dessutom information om behandlingen innan enrolleringen utförs. Företaget<br />
anser att de anställda i och med enrolleringen, genom så kallat konkludent<br />
handlande, samtycker till behandlingen.<br />
Sida 2 av 7
Anställda som av olika skäl inte vill använda systemet med biometrisk verifie-<br />
ring har möjlighet att istället logga in med anställningsnummer. Enligt före-<br />
taget är det två personer som valt detta alternativ.<br />
Skäl för <strong>beslut</strong>et<br />
Gäller personuppgiftslagens bestämmelser för system som bygger på<br />
fingeravtrycksavläsning?<br />
Personuppgiftslagen gäller för sådan behandling av personuppgifter som är<br />
helt eller delvis automatiserad. Enligt definitionen i 3 § personuppgiftslagen<br />
är all slags information som direkt eller indirekt kan hänföras till en fysisk<br />
person som är i livet att betrakta som personuppgifter.<br />
De fingeravtryck som automatiskt behandlas av företaget är att beteckna som<br />
personuppgifter, varför personuppgiftslagens bestämmelser måste följas.<br />
Vilka bestämmelser i personuppgiftslagen ska tillämpas på behandlingen?<br />
Personuppgiftslagen kan sägas innehålla två skilda regelverk. Vilket regelverk<br />
som ska tillämpas beror på hur personuppgifterna hanteras. Ska uppgifterna<br />
ingå i en påtagligt strukturerad samling av personuppgifter, såsom i en data-<br />
bas eller ett ärendehanteringssystem, måste i princip alla regler i personupp-<br />
giftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i<br />
ostrukturerat material, till exempel uppgifter i löpande text eller uppgifter i<br />
ljud- eller bildupptagningar utan koppling till en registerstruktur behöver<br />
man inte tillämpa alla regler i personuppgiftslagen (5 a § första stycket per-<br />
sonuppgiftslagen). Sådan ostrukturerad behandling får dock inte utföras om<br />
den innebär en kränkning av registrerades personliga integritet.<br />
Det aktuella systemet med fingeravtrycksavläsning innebär att personuppgif-<br />
ter fortlöpande lagras i databaser i syfte att identifiera arbetstagare. Under<br />
dessa förutsättningar kan det inte anses vara fråga om en sådan behandling av<br />
personuppgifter i ostrukturerat material som avses i 5 a § personuppgiftsla-<br />
gen. Samtliga bestämmelser i personuppgiftslagen är därmed i princip till-<br />
lämpliga på behandlingen.<br />
Är systemet med fingeravtrycksavläsning för ändamålen närvarokontroll och<br />
arbetstidsrapportering tillåten?<br />
I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka fall det<br />
överhuvudtaget är tillåtet att behandla personuppgifter. Huvudregeln är att<br />
personuppgifter får behandlas med stöd av samtycke, i annat fall krävs att<br />
behandlingen är nödvändig för att uppfylla vissa i paragrafen närmare angivna<br />
syften.<br />
Sida 3 av 7
Enligt 10 § punkten f) får till exempel personuppgifter behandlas med stöd av<br />
en så kallad intresseavvägning. Det krävs då att behandlingen är nödvändig<br />
för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsan-<br />
svarige ska kunna tillgodoses och att detta intresse väger tyngre än den regi-<br />
strerades intresse av skydd mot kränkning av den personliga integriteten. Hur<br />
en sådan intresseavvägning utfaller beror på omständigheterna i det enskilda<br />
fallet. Vid denna bedömning bör man bland annat ta hänsyn till ändamålen<br />
med behandlingen och om arbetsgivaren följer reglerna i personuppgiftsla-<br />
gen, exempelvis i fråga om kravet på information, väl avvägda gallringsrutiner<br />
samt skydd mot obehörig åtkomst. Innehållet i fackliga överenskommelser<br />
kan också ha betydelse för om behandling av personuppgifter i kontrollsyfte<br />
är tillåten med stöd av en intresseavvägning enligt personuppgiftslagen.<br />
I detta sammanhang är det också värt att framhålla att den arbetsgrupp som<br />
inrättats enligt artikel 29 i dataskyddsdirektivet (den så kallade 29-gruppen),<br />
och som är EU:s oberoende rådgivande instans för dataskydd och skydd av<br />
privatlivet, har antagit ett arbetsdokument om biometri som syftar till att bi-<br />
dra till en effektiv och enhetlig tillämpning av de nationella bestämmelserna<br />
om dataskydd inom EU (12168/02/SV WP 80). 29-gruppen har i detta doku-<br />
ment uttalat bland annat följande:<br />
En fara i samband med biometrisk databehandling är i synnerhet att en ökad<br />
användning av biometriska uppgifter kan medföra att allmänheten blir mindre<br />
uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag<br />
[…]<br />
När det gäller behörighetskontroll (autentisering/verifiering) är det arbets-<br />
gruppens uppfattning att biometriska system knutna till fysiska drag som inte<br />
lämnar spår (till exempel handens struktur, men inte fingermönster) eller<br />
biometriska system knutna till fysiska drag som lämnar spår men inte lagrar<br />
uppgifter som innehas av någon annan än den person som berörs (det vill säga<br />
uppgifterna lagras inte i utrustningen för behörighetskontroll eller lagras i en<br />
central databas) medför lägre risk för skyddet av individens grundläggande fri-<br />
och rättigheter. Flera datainspektioner stödjer denna åsikt och anser att<br />
biometrisk information inte bör lagras i en databas, utan uteslutande i utrust-<br />
ning som endast användaren har tillgång till, såsom ett smartkort, en mobiltele-<br />
fon eller ett bankkort. I applikationer där autentisering/verifiering kan ske utan<br />
att biometriska uppgifter behöver lagras centralt bör med andra ord överdriven<br />
identifieringsteknik inte tillämpas.<br />
Regeringsrätten har i ett avgörande (RÅ 2008 ref. 83) tagit ställning till om<br />
behandling av biometriska data i form av fingeravläsning i samband med<br />
skolmåltider varit tillåten med stöd av en intresseavvägning enligt person-<br />
uppgiftslagen. Sakomständigheterna i det målet var liknande de som förelig-<br />
Sida 4 av 7
ger i nu aktuella ärende, det var till exempel fråga om behandling av partiella<br />
fingeravtryck i en central databas. Regeringsrätten, som ansåg att den aktuella<br />
behandlingen endast var tillåten under förutsättning att samtycke inhämtas,<br />
uttalade bland annat följande:<br />
Behandling av biometriska uppgifter i identifieringssyfte kan av många uppfat-<br />
tas som känslig. Det nu aktuella systemet bygger på att uppgifterna finns i da-<br />
tabaser som är tillgängliga för kommunen och att uppgifterna lagras under en<br />
förhållandevis lång tid. Den tekniska utformningen av systemet är alltså sådan<br />
att behandlingen får anses påkalla att särskilda integritetshänsyn tas. Mot den<br />
bakgrunden och då kommunens intresse av att identifiera eleverna torde kunna<br />
tillgodoses även med andra metoder finner Regeringsrätten att behandlingen<br />
kan vara tillåten endast under förutsättning att samtycke inhämtats.<br />
När det gäller den behandling av personuppgifter som aktualiseras i detta<br />
ärende gör <strong>Datainspektionen</strong> följande bedömning:<br />
Användningen av system för biometrisk verifiering inger betänkligheter ur<br />
integritetshänseende. Biometriska uppgifter är unika för varje individ och är i<br />
många fall dessutom permanenta, vilket möjliggör en livslång<br />
identifiering av en person. Användningen av biometriska uppgifter ger även<br />
upphov till integritetsrisker som kan vara svåra att överblicka i dagsläget. Sy-<br />
nen på användningen av system som bygger på biometri bör därför vara re-<br />
striktiv. Även om det i det aktuella fallet inte är fråga om att registrera full-<br />
ständiga fingeravtryck kan registreringen uppfattas som ett intrång i den per-<br />
sonliga integriteten. Med hänsyn till 29-gruppens uttalande och regeringsrät-<br />
tens avgörande ovan, anser vi att den aktuella behandlingen av biometriska<br />
uppgifter innebär ett integritetsintrång som inte står i rimlig proportion till<br />
ändamålen med behandlingen. Behandlingen är därför otillåten med stöd av<br />
en intresseavvägning enligt 10 § punkten f) personuppgiftslagen och får en-<br />
dast utföras med stöd av samtycken från de registrerade.<br />
För att ett samtycke skall vara giltigt enligt personuppgiftslagen krävs att det<br />
utgör en frivillig, särskild och otvetydig viljeyttring. De registrerade ska vidare<br />
ha fått tillräcklig information om behandlingen för att kunna ta ställning till<br />
eventuella samtycken. Behandling av biometriska uppgifter i arbetslivet med<br />
stöd av samtycke begränsas till sådana situationer där de anställda har ett<br />
verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför<br />
några nackdelar för honom eller henne. Det innebär bland annat att de an-<br />
ställda måste erbjudas en alternativ metod till den biometriska behandlingen<br />
– exempelvis möjlighet att logga in genom användarnamn och lösenord istäl-<br />
let – samt att han eller hon inte utsätts för någon direkt eller indirekt påtryck-<br />
ning att välja det alternativ som innebär behandling av biometriska uppgifter.<br />
Sida 5 av 7
Är situationen sådan att den registrerade i praktiken inte kan avstå, är sam-<br />
tycket inte frivilligt.<br />
I ärendet har framkommit att ni informerar de anställda på olika sätt om be-<br />
handlingen av biometriska uppgifter. Men det är inte närmare klarlagt vad<br />
informationen innehåller. För att de anställda ska kunna lämna ett informerat<br />
samtycke måste ni ha informerat dem om behandlingen på det sätt som per-<br />
sonuppgiftslagen kräver. I 25 §§ personuppgiftslagen finns regler om vad in-<br />
formation ska innehålla. Av bestämmelsen framgår att informationen ska vara<br />
tydlig och begriplig och omfatta:<br />
� uppgifter om den som är personuppgiftsansvarig<br />
� ändamålen med behandlingen, det vill säga varför personuppgifterna regi-<br />
streras och hur de ska användas<br />
� övrig information som den registrerade behöver känna till, till exempel:<br />
- vilka typer av uppgifter som ska behandlas<br />
- till vilka företag eller andra organisationer (eller typer av dessa) som<br />
uppgifterna kan komma att lämnas ut<br />
- om det är frivilligt för den registrerade att lämna uppgifter<br />
- att den registrerade har rätt att begära ett registerutdrag för att kun-<br />
na kontrollera vilken information som finns registrerad om honom<br />
eller henne<br />
- att den personuppgiftsansvarige är skyldig att på begäran av den re-<br />
gistrerade rätta uppgifter som är felaktiga, ofullständiga eller miss-<br />
visande<br />
Av den samtyckesblankett som ni har tagit fram och som bifogats ärendet<br />
framgår inte om det är frivilligt för de anställda att registrera sina fingerav-<br />
tryck. Det framgår inte heller att de biometriska uppgifterna behandlas vid<br />
outsourcade datacenter. För att de anställda ska kunna lämna giltiga samtyck-<br />
en enligt personuppgiftslagen krävs att ni informerar om detta. Den informa-<br />
tionen kan i och för sig lämnas muntligt, men vi rekommenderar ändå att<br />
blanketten kompletteras med denna information.<br />
Vi förutsätter att ni beaktar ovan angivna synpunkter och vidtar de åtgärder<br />
som eventuellt behövs för att behandlingen ska vara tillåten enligt person-<br />
uppgiftslagen. Ärendet avslutas därmed.<br />
Sida 6 av 7
Hur man överklagar<br />
Om ni vill överklaga <strong>beslut</strong>et skall ni skriva till <strong>Datainspektionen</strong>. Ange i skri-<br />
velsen vilket <strong>beslut</strong> som överklagas och den ändring som ni begär. Inspektio-<br />
nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del<br />
av <strong>beslut</strong>et, annars kan överklagandet inte prövas. <strong>Datainspektionen</strong> sänder<br />
överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om in-<br />
spektionen inte själv ändrar <strong>beslut</strong>et på det sätt ni har begärt.<br />
Oskar Öhrström<br />
Sida 7 av 7