beslut - Datainspektionen

More documents

Recommendations

Info

Vid inspektionen och den utredning som i övrigt skett i ärendet har bland annat följande framkommit. Företaget har infört ett system för biometrisk verifiering (fingeravtrycksavläs- ning) i sina butiker. Den biometriska verifieringen används för närvarokon- troll och tidrapportering av anställda. En av anledningarna till att företaget valt biometrisk verifiering, är att företaget upplevt problem med så kallad kompisrapportering, det vill säga att arbetskollegor ”stämplat in” för varandra, vilket i förlängningen har påverkan på bland annat utbetald lön. Ett annat av företaget uppgivet skäl till den biometriska verifieringen är att det är ett effek- tivt och enkelt sätt att logga in i systemet, vilket underlättar för personalen. Företaget har övervägt alternativa metoder såsom single sign-on eller passer- kort. Dessa lösningar råder dock inte bot på problemet med kompisrapportering. När butikspersonalen påbörjar sin anställning sker en enrollering (inskanning och registrering) av deras fingeravtryck. Den inskannade bilden omvandlas till en binär sträng, varefter den inskannade bilden raderas från systemet. Fingeravtrycket kan inte återskapas från den binära strängen. Den binära sträng som skapas är systemunik och det finns i princip inget användnings- område för den utanför systemet. Strängen raderas vid anställningens slut. Informationen lagras på tre servrar i England, varav två finns i outsourcade datacenter. Företaget har upprättat biträdesavtal med leverantörerna av data- centren. Varje gång den anställde påbörjar ett arbetspass, går på lunch, kommer tillba- ka från lunch, avslutar ett arbetspass eller dylikt, anger denne sin anställ- ningskod samt sätter sitt finger mot en särskild terminal som skannar av fingeravtrycket och skapar en binär sträng enligt ovan beskrivet förfarande. Den binära strängen som skapas jämförs därefter mot den sträng som skapats vid enrolleringen, varefter terminalen svarar med ett ”ja” eller ”nej”. Företaget anser att den aktuella insamlingen av biometriska uppgifter om de anställda i och för sig är tillåten med stöd av en intresseavvägning enligt 10 § punkten f) personuppgiftslagen, men inhämtar trots detta samtycke från be- rörda arbetstagare. Företaget har tagit fram en särskild samtyckesblankett, som enskilda skriver under i samband med anställning. Företaget lämnar dessutom information om behandlingen innan enrolleringen utförs. Företaget anser att de anställda i och med enrolleringen, genom så kallat konkludent handlande, samtycker till behandlingen. Sida 2 av 7
Anställda som av olika skäl inte vill använda systemet med biometrisk verifiering har möjlighet att istället logga in med anställningsnummer. Enligt före- taget är det två personer som valt detta alternativ. Skäl för <strong>beslut</strong>et Gäller personuppgiftslagens bestämmelser för system som bygger på fingeravtrycksavläsning? Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Enligt definitionen i 3 § personuppgiftslagen är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet att betrakta som personuppgifter. De fingeravtryck som automatiskt behandlas av företaget är att beteckna som personuppgifter, varför personuppgiftslagens bestämmelser måste följas. Vilka bestämmelser i personuppgiftslagen ska tillämpas på behandlingen? Personuppgiftslagen kan sägas innehålla två skilda regelverk. Vilket regelverk som ska tillämpas beror på hur personuppgifterna hanteras. Ska uppgifterna ingå i en påtagligt strukturerad samling av personuppgifter, såsom i en data- bas eller ett ärendehanteringssystem, måste i princip alla regler i personuppgiftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i ostrukturerat material, till exempel uppgifter i löpande text eller uppgifter i ljud- eller bildupptagningar utan koppling till en registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen (5 a § första stycket personuppgiftslagen). Sådan ostrukturerad behandling får dock inte utföras om den innebär en kränkning av registrerades personliga integritet. Det aktuella systemet med fingeravtrycksavläsning innebär att personuppgifter fortlöpande lagras i databaser i syfte att identifiera arbetstagare. Under dessa förutsättningar kan det inte anses vara fråga om en sådan behandling av personuppgifter i ostrukturerat material som avses i 5 a § personuppgiftslagen. Samtliga bestämmelser i personuppgiftslagen är därmed i princip till- lämpliga på behandlingen. Är systemet med fingeravtrycksavläsning för ändamålen närvarokontroll och arbetstidsrapportering tillåten? I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka fall det överhuvudtaget är tillåtet att behandla personuppgifter. Huvudregeln är att personuppgifter får behandlas med stöd av samtycke, i annat fall krävs att behandlingen är nödvändig för att uppfylla vissa i paragrafen närmare angivna syften. Sida 3 av 7
Page 1: Datum Diarienr 2010-11-12 1765-2009
Page 5 and 6: ger i nu aktuella ärende, det var
Page 7: Hur man överklagar Om ni vill öve

beslut - Datainspektionen

Create successful ePaper yourself

Delete template?

Save as template?