beslut - Datainspektionen
beslut - Datainspektionen
beslut - Datainspektionen
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Vid inspektionen och den utredning som i övrigt skett i ärendet har bland<br />
annat följande framkommit.<br />
Företaget har infört ett system för biometrisk verifiering (fingeravtrycksavläs-<br />
ning) i sina butiker. Den biometriska verifieringen används för närvarokon-<br />
troll och tidrapportering av anställda. En av anledningarna till att företaget<br />
valt biometrisk verifiering, är att företaget upplevt problem med så kallad<br />
kompisrapportering, det vill säga att arbetskollegor ”stämplat in” för varandra,<br />
vilket i förlängningen har påverkan på bland annat utbetald lön. Ett annat av<br />
företaget uppgivet skäl till den biometriska verifieringen är att det är ett effek-<br />
tivt och enkelt sätt att logga in i systemet, vilket underlättar för personalen.<br />
Företaget har övervägt alternativa metoder såsom single sign-on eller passer-<br />
kort. Dessa lösningar råder dock inte bot på problemet med kompisrapporte-<br />
ring.<br />
När butikspersonalen påbörjar sin anställning sker en enrollering (inskanning<br />
och registrering) av deras fingeravtryck. Den inskannade bilden omvandlas<br />
till en binär sträng, varefter den inskannade bilden raderas från systemet.<br />
Fingeravtrycket kan inte återskapas från den binära strängen. Den binära<br />
sträng som skapas är systemunik och det finns i princip inget användnings-<br />
område för den utanför systemet. Strängen raderas vid anställningens slut.<br />
Informationen lagras på tre servrar i England, varav två finns i outsourcade<br />
datacenter. Företaget har upprättat biträdesavtal med leverantörerna av data-<br />
centren.<br />
Varje gång den anställde påbörjar ett arbetspass, går på lunch, kommer tillba-<br />
ka från lunch, avslutar ett arbetspass eller dylikt, anger denne sin anställ-<br />
ningskod samt sätter sitt finger mot en särskild terminal som skannar av fing-<br />
eravtrycket och skapar en binär sträng enligt ovan beskrivet förfarande. Den<br />
binära strängen som skapas jämförs därefter mot den sträng som skapats vid<br />
enrolleringen, varefter terminalen svarar med ett ”ja” eller ”nej”.<br />
Företaget anser att den aktuella insamlingen av biometriska uppgifter om de<br />
anställda i och för sig är tillåten med stöd av en intresseavvägning enligt 10 §<br />
punkten f) personuppgiftslagen, men inhämtar trots detta samtycke från be-<br />
rörda arbetstagare. Företaget har tagit fram en särskild samtyckesblankett,<br />
som enskilda skriver under i samband med anställning. Företaget lämnar<br />
dessutom information om behandlingen innan enrolleringen utförs. Företaget<br />
anser att de anställda i och med enrolleringen, genom så kallat konkludent<br />
handlande, samtycker till behandlingen.<br />
Sida 2 av 7