beslut - Datainspektionen
01.11.2012 Views
Share Embed Flag

beslut - Datainspektionen

beslut - Datainspektionen

beslut - Datainspektionen

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
datainspektionen.se

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

Datum Diarienr<br />

2010-11-12 1765-2009<br />

The Phone House AB<br />

131 04 NACKA<br />

Tillsyn enligt personuppgiftslagen (1998:204) –<br />

användning av biometri inom arbetslivet<br />

<strong>Datainspektionen</strong>s <strong>beslut</strong><br />

<strong>Datainspektionen</strong> bedömer att The Phone House AB:s (företaget) användning<br />

av fingeravtrycksavläsning för närvarokontroll och tidrapportering avseende<br />

anställda är tillåten, under förutsättning att bolaget inhämtar samtycken från<br />

de anställda enligt 10 § personuppgiftslagen.<br />

För att det ska vara fråga om giltiga samtycken enligt personuppgiftslagen<br />

krävs att de anställda har fått tydlig och utförlig information om behandling-<br />

en. Informationen ska uppfylla de krav som uppställs i 25 § personuppgiftsla-<br />

gen. De anställda måste vidare erbjudas en alternativ metod till den biomet-<br />

riska behandlingen och får inte utsättas för någon direkt eller indirekt på-<br />

tryckning att välja det alternativ som innebär behandling av biometriska upp-<br />

gifter.<br />

<strong>Datainspektionen</strong> förutsätter att företaget iakttar ovan angivna synpunkter.<br />

Med dessa synpunkter avslutas tillsynsärendet. <strong>Datainspektionen</strong> kan komma<br />

att följa upp ärendet.<br />

Redogörelse för tillsynsärendet<br />

<strong>Datainspektionen</strong> har genom ett anonymt klagomål uppmärksammats på att<br />

företaget infört ett system med fingeravtrycksavläsning i sina butikslokaler.<br />

Med anledning av vad som gjorts gällande i klagomålet har <strong>Datainspektionen</strong><br />

genomfört en inspektion av företaget och den behandling av personuppgifter<br />

som aktualiseras då företaget använder fingeravtrycksavläsare i sin<br />

verksamhet. Protokoll över inspektionen har upprättats och översänts till<br />

företaget, som har yttrat sig.<br />

Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se<br />

Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00<br />

Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Vid inspektionen och den utredning som i övrigt skett i ärendet har bland<br />

annat följande framkommit.<br />

Företaget har infört ett system för biometrisk verifiering (fingeravtrycksavläs-<br />

ning) i sina butiker. Den biometriska verifieringen används för närvarokon-<br />

troll och tidrapportering av anställda. En av anledningarna till att företaget<br />

valt biometrisk verifiering, är att företaget upplevt problem med så kallad<br />

kompisrapportering, det vill säga att arbetskollegor ”stämplat in” för varandra,<br />

vilket i förlängningen har påverkan på bland annat utbetald lön. Ett annat av<br />

företaget uppgivet skäl till den biometriska verifieringen är att det är ett effek-<br />

tivt och enkelt sätt att logga in i systemet, vilket underlättar för personalen.<br />

Företaget har övervägt alternativa metoder såsom single sign-on eller passer-<br />

kort. Dessa lösningar råder dock inte bot på problemet med kompisrapporte-<br />

ring.<br />

När butikspersonalen påbörjar sin anställning sker en enrollering (inskanning<br />

och registrering) av deras fingeravtryck. Den inskannade bilden omvandlas<br />

till en binär sträng, varefter den inskannade bilden raderas från systemet.<br />

Fingeravtrycket kan inte återskapas från den binära strängen. Den binära<br />

sträng som skapas är systemunik och det finns i princip inget användnings-<br />

område för den utanför systemet. Strängen raderas vid anställningens slut.<br />

Informationen lagras på tre servrar i England, varav två finns i outsourcade<br />

datacenter. Företaget har upprättat biträdesavtal med leverantörerna av data-<br />

centren.<br />

Varje gång den anställde påbörjar ett arbetspass, går på lunch, kommer tillba-<br />

ka från lunch, avslutar ett arbetspass eller dylikt, anger denne sin anställ-<br />

ningskod samt sätter sitt finger mot en särskild terminal som skannar av fing-<br />

eravtrycket och skapar en binär sträng enligt ovan beskrivet förfarande. Den<br />

binära strängen som skapas jämförs därefter mot den sträng som skapats vid<br />

enrolleringen, varefter terminalen svarar med ett ”ja” eller ”nej”.<br />

Företaget anser att den aktuella insamlingen av biometriska uppgifter om de<br />

anställda i och för sig är tillåten med stöd av en intresseavvägning enligt 10 §<br />

punkten f) personuppgiftslagen, men inhämtar trots detta samtycke från be-<br />

rörda arbetstagare. Företaget har tagit fram en särskild samtyckesblankett,<br />

som enskilda skriver under i samband med anställning. Företaget lämnar<br />

dessutom information om behandlingen innan enrolleringen utförs. Företaget<br />

anser att de anställda i och med enrolleringen, genom så kallat konkludent<br />

handlande, samtycker till behandlingen.<br />

Sida 2 av 7

Anställda som av olika skäl inte vill använda systemet med biometrisk verifie-<br />

ring har möjlighet att istället logga in med anställningsnummer. Enligt före-<br />

taget är det två personer som valt detta alternativ.<br />

Skäl för <strong>beslut</strong>et<br />

Gäller personuppgiftslagens bestämmelser för system som bygger på<br />

fingeravtrycksavläsning?<br />

Personuppgiftslagen gäller för sådan behandling av personuppgifter som är<br />

helt eller delvis automatiserad. Enligt definitionen i 3 § personuppgiftslagen<br />

är all slags information som direkt eller indirekt kan hänföras till en fysisk<br />

person som är i livet att betrakta som personuppgifter.<br />

De fingeravtryck som automatiskt behandlas av företaget är att beteckna som<br />

personuppgifter, varför personuppgiftslagens bestämmelser måste följas.<br />

Vilka bestämmelser i personuppgiftslagen ska tillämpas på behandlingen?<br />

Personuppgiftslagen kan sägas innehålla två skilda regelverk. Vilket regelverk<br />

som ska tillämpas beror på hur personuppgifterna hanteras. Ska uppgifterna<br />

ingå i en påtagligt strukturerad samling av personuppgifter, såsom i en data-<br />

bas eller ett ärendehanteringssystem, måste i princip alla regler i personupp-<br />

giftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i<br />

ostrukturerat material, till exempel uppgifter i löpande text eller uppgifter i<br />

ljud- eller bildupptagningar utan koppling till en registerstruktur behöver<br />

man inte tillämpa alla regler i personuppgiftslagen (5 a § första stycket per-<br />

sonuppgiftslagen). Sådan ostrukturerad behandling får dock inte utföras om<br />

den innebär en kränkning av registrerades personliga integritet.<br />

Det aktuella systemet med fingeravtrycksavläsning innebär att personuppgif-<br />

ter fortlöpande lagras i databaser i syfte att identifiera arbetstagare. Under<br />

dessa förutsättningar kan det inte anses vara fråga om en sådan behandling av<br />

personuppgifter i ostrukturerat material som avses i 5 a § personuppgiftsla-<br />

gen. Samtliga bestämmelser i personuppgiftslagen är därmed i princip till-<br />

lämpliga på behandlingen.<br />

Är systemet med fingeravtrycksavläsning för ändamålen närvarokontroll och<br />

arbetstidsrapportering tillåten?<br />

I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka fall det<br />

överhuvudtaget är tillåtet att behandla personuppgifter. Huvudregeln är att<br />

personuppgifter får behandlas med stöd av samtycke, i annat fall krävs att<br />

behandlingen är nödvändig för att uppfylla vissa i paragrafen närmare angivna<br />

syften.<br />

Sida 3 av 7

Enligt 10 § punkten f) får till exempel personuppgifter behandlas med stöd av<br />

en så kallad intresseavvägning. Det krävs då att behandlingen är nödvändig<br />

för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsan-<br />

svarige ska kunna tillgodoses och att detta intresse väger tyngre än den regi-<br />

strerades intresse av skydd mot kränkning av den personliga integriteten. Hur<br />

en sådan intresseavvägning utfaller beror på omständigheterna i det enskilda<br />

fallet. Vid denna bedömning bör man bland annat ta hänsyn till ändamålen<br />

med behandlingen och om arbetsgivaren följer reglerna i personuppgiftsla-<br />

gen, exempelvis i fråga om kravet på information, väl avvägda gallringsrutiner<br />

samt skydd mot obehörig åtkomst. Innehållet i fackliga överenskommelser<br />

kan också ha betydelse för om behandling av personuppgifter i kontrollsyfte<br />

är tillåten med stöd av en intresseavvägning enligt personuppgiftslagen.<br />

I detta sammanhang är det också värt att framhålla att den arbetsgrupp som<br />

inrättats enligt artikel 29 i dataskyddsdirektivet (den så kallade 29-gruppen),<br />

och som är EU:s oberoende rådgivande instans för dataskydd och skydd av<br />

privatlivet, har antagit ett arbetsdokument om biometri som syftar till att bi-<br />

dra till en effektiv och enhetlig tillämpning av de nationella bestämmelserna<br />

om dataskydd inom EU (12168/02/SV WP 80). 29-gruppen har i detta doku-<br />

ment uttalat bland annat följande:<br />

En fara i samband med biometrisk databehandling är i synnerhet att en ökad<br />

användning av biometriska uppgifter kan medföra att allmänheten blir mindre<br />

uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag<br />

[…]<br />

När det gäller behörighetskontroll (autentisering/verifiering) är det arbets-<br />

gruppens uppfattning att biometriska system knutna till fysiska drag som inte<br />

lämnar spår (till exempel handens struktur, men inte fingermönster) eller<br />

biometriska system knutna till fysiska drag som lämnar spår men inte lagrar<br />

uppgifter som innehas av någon annan än den person som berörs (det vill säga<br />

uppgifterna lagras inte i utrustningen för behörighetskontroll eller lagras i en<br />

central databas) medför lägre risk för skyddet av individens grundläggande fri-<br />

och rättigheter. Flera datainspektioner stödjer denna åsikt och anser att<br />

biometrisk information inte bör lagras i en databas, utan uteslutande i utrust-<br />

ning som endast användaren har tillgång till, såsom ett smartkort, en mobiltele-<br />

fon eller ett bankkort. I applikationer där autentisering/verifiering kan ske utan<br />

att biometriska uppgifter behöver lagras centralt bör med andra ord överdriven<br />

identifieringsteknik inte tillämpas.<br />

Regeringsrätten har i ett avgörande (RÅ 2008 ref. 83) tagit ställning till om<br />

behandling av biometriska data i form av fingeravläsning i samband med<br />

skolmåltider varit tillåten med stöd av en intresseavvägning enligt person-<br />

uppgiftslagen. Sakomständigheterna i det målet var liknande de som förelig-<br />

Sida 4 av 7

ger i nu aktuella ärende, det var till exempel fråga om behandling av partiella<br />

fingeravtryck i en central databas. Regeringsrätten, som ansåg att den aktuella<br />

behandlingen endast var tillåten under förutsättning att samtycke inhämtas,<br />

uttalade bland annat följande:<br />

Behandling av biometriska uppgifter i identifieringssyfte kan av många uppfat-<br />

tas som känslig. Det nu aktuella systemet bygger på att uppgifterna finns i da-<br />

tabaser som är tillgängliga för kommunen och att uppgifterna lagras under en<br />

förhållandevis lång tid. Den tekniska utformningen av systemet är alltså sådan<br />

att behandlingen får anses påkalla att särskilda integritetshänsyn tas. Mot den<br />

bakgrunden och då kommunens intresse av att identifiera eleverna torde kunna<br />

tillgodoses även med andra metoder finner Regeringsrätten att behandlingen<br />

kan vara tillåten endast under förutsättning att samtycke inhämtats.<br />

När det gäller den behandling av personuppgifter som aktualiseras i detta<br />

ärende gör <strong>Datainspektionen</strong> följande bedömning:<br />

Användningen av system för biometrisk verifiering inger betänkligheter ur<br />

integritetshänseende. Biometriska uppgifter är unika för varje individ och är i<br />

många fall dessutom permanenta, vilket möjliggör en livslång<br />

identifiering av en person. Användningen av biometriska uppgifter ger även<br />

upphov till integritetsrisker som kan vara svåra att överblicka i dagsläget. Sy-<br />

nen på användningen av system som bygger på biometri bör därför vara re-<br />

striktiv. Även om det i det aktuella fallet inte är fråga om att registrera full-<br />

ständiga fingeravtryck kan registreringen uppfattas som ett intrång i den per-<br />

sonliga integriteten. Med hänsyn till 29-gruppens uttalande och regeringsrät-<br />

tens avgörande ovan, anser vi att den aktuella behandlingen av biometriska<br />

uppgifter innebär ett integritetsintrång som inte står i rimlig proportion till<br />

ändamålen med behandlingen. Behandlingen är därför otillåten med stöd av<br />

en intresseavvägning enligt 10 § punkten f) personuppgiftslagen och får en-<br />

dast utföras med stöd av samtycken från de registrerade.<br />

För att ett samtycke skall vara giltigt enligt personuppgiftslagen krävs att det<br />

utgör en frivillig, särskild och otvetydig viljeyttring. De registrerade ska vidare<br />

ha fått tillräcklig information om behandlingen för att kunna ta ställning till<br />

eventuella samtycken. Behandling av biometriska uppgifter i arbetslivet med<br />

stöd av samtycke begränsas till sådana situationer där de anställda har ett<br />

verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför<br />

några nackdelar för honom eller henne. Det innebär bland annat att de an-<br />

ställda måste erbjudas en alternativ metod till den biometriska behandlingen<br />

– exempelvis möjlighet att logga in genom användarnamn och lösenord istäl-<br />

let – samt att han eller hon inte utsätts för någon direkt eller indirekt påtryck-<br />

ning att välja det alternativ som innebär behandling av biometriska uppgifter.<br />

Sida 5 av 7

Är situationen sådan att den registrerade i praktiken inte kan avstå, är sam-<br />

tycket inte frivilligt.<br />

I ärendet har framkommit att ni informerar de anställda på olika sätt om be-<br />

handlingen av biometriska uppgifter. Men det är inte närmare klarlagt vad<br />

informationen innehåller. För att de anställda ska kunna lämna ett informerat<br />

samtycke måste ni ha informerat dem om behandlingen på det sätt som per-<br />

sonuppgiftslagen kräver. I 25 §§ personuppgiftslagen finns regler om vad in-<br />

formation ska innehålla. Av bestämmelsen framgår att informationen ska vara<br />

tydlig och begriplig och omfatta:<br />

� uppgifter om den som är personuppgiftsansvarig<br />

� ändamålen med behandlingen, det vill säga varför personuppgifterna regi-<br />

streras och hur de ska användas<br />

� övrig information som den registrerade behöver känna till, till exempel:<br />

- vilka typer av uppgifter som ska behandlas<br />

- till vilka företag eller andra organisationer (eller typer av dessa) som<br />

uppgifterna kan komma att lämnas ut<br />

- om det är frivilligt för den registrerade att lämna uppgifter<br />

- att den registrerade har rätt att begära ett registerutdrag för att kun-<br />

na kontrollera vilken information som finns registrerad om honom<br />

eller henne<br />

- att den personuppgiftsansvarige är skyldig att på begäran av den re-<br />

gistrerade rätta uppgifter som är felaktiga, ofullständiga eller miss-<br />

visande<br />

Av den samtyckesblankett som ni har tagit fram och som bifogats ärendet<br />

framgår inte om det är frivilligt för de anställda att registrera sina fingerav-<br />

tryck. Det framgår inte heller att de biometriska uppgifterna behandlas vid<br />

outsourcade datacenter. För att de anställda ska kunna lämna giltiga samtyck-<br />

en enligt personuppgiftslagen krävs att ni informerar om detta. Den informa-<br />

tionen kan i och för sig lämnas muntligt, men vi rekommenderar ändå att<br />

blanketten kompletteras med denna information.<br />

Vi förutsätter att ni beaktar ovan angivna synpunkter och vidtar de åtgärder<br />

som eventuellt behövs för att behandlingen ska vara tillåten enligt person-<br />

uppgiftslagen. Ärendet avslutas därmed.<br />

Sida 6 av 7

Hur man överklagar<br />

Om ni vill överklaga <strong>beslut</strong>et skall ni skriva till <strong>Datainspektionen</strong>. Ange i skri-<br />

velsen vilket <strong>beslut</strong> som överklagas och den ändring som ni begär. Inspektio-<br />

nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del<br />

av <strong>beslut</strong>et, annars kan överklagandet inte prövas. <strong>Datainspektionen</strong> sänder<br />

överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om in-<br />

spektionen inte själv ändrar <strong>beslut</strong>et på det sätt ni har begärt.<br />

Oskar Öhrström<br />

Sida 7 av 7

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!