Tillstånd som undantag för behandling av biometriska data

Nyligen ålagde den nederländska dataskyddsmyndigheten (AP) ett stort böter, nämligen 725,000 9 euro, på ett företag som skannade fingeravtryck av anställda för närvaro och tidsregistrering. Biometriska uppgifter, till exempel ett fingeravtryck, är speciella personuppgifter i den mening som avses i artikel 9 GDPR. Dessa är unika egenskaper som kan spåras tillbaka till en specifik person. Dessa data innehåller dock ofta mer information än vad som är nödvändigt för till exempel identifiering. Deras behandling innebär därför stora risker inom området grundläggande rättigheter och friheter för människor. Om dessa uppgifter kommer i fel händer, kan detta leda till oåterkallelig skada. Biometriska uppgifter är därför väl skyddade, och behandling av dem är förbjudet enligt artikel XNUMX GDPR, såvida det inte finns ett rättsligt undantag för detta. I detta fall drog AP slutsatsen att företaget i fråga inte hade rätt till ett undantag för behandling av speciella personuppgifter.

Om fingeravtrycket i samband med GDPR och ett av undantagen, nämligen nödvändighet, skrev vi tidigare i en av våra bloggar: 'Fingerprint in violation of GDPR'. Denna blogg fokuserar på den andra alternativa grunden för undantag: tillstånd. När en arbetsgivare använder biometriska uppgifter som fingeravtryck i sitt företag, kan han, när det gäller integritet, räcka med medarbetarens tillstånd?

Tillstånd som undantag för behandling av biometriska data

Med tillstånd menas a specifik, informerad och entydig uttryck för vilja med vilken någon accepterar en behandling av sina personuppgifter med ett uttalande eller entydig aktiv handling, enligt artikel 4, avsnitt 11, GDPR. I samband med detta undantag måste arbetsgivaren därför inte bara visa att hans anställda har gett tillstånd, utan också att detta har varit entydigt, specifikt och informerat. Att underteckna anställningsavtalet eller ta emot personalhandboken där arbetsgivaren bara har registrerat avsikten att klocka in helt med fingeravtrycket, räcker inte i detta sammanhang, avslutade AP. Som bevis måste arbetsgivaren till exempel lämna in policyer, förfaranden eller annan dokumentation som visar att hans anställda är tillräckligt informerade om behandlingen av biometriska uppgifter och att de också har gett (uttryckligt) tillstånd för behandling av dessa.

Om tillståndet beviljas av den anställda måste det dessutom inte bara vara "explicit' men också 'fritt gesenligt AP. "Explicit" är till exempel skriftligt tillstånd, signatur, skicka ett e-postmeddelande för att ge tillstånd eller tillstånd med tvåstegsverifiering. 'Fritt ges' betyder att det inte måste finnas någon tvång bakom det (som var fallet i det aktuella fallet: när man vägrar att få fingeravtrycket skannat följer en konversation med regissören / styrelsen) eller att tillstånd kan vara ett villkor för något annorlunda. Villkoret "fritt gett" uppfylls i alla fall inte av arbetsgivaren när de anställda är skyldiga eller, som i det aktuella fallet, upplever det som en skyldighet att registrera sitt fingeravtryck. I allmänhet, enligt detta krav, ansåg AP att med hänsyn till det beroende som följer av förhållandet mellan arbetsgivaren och arbetstagaren är det osannolikt att den anställde fritt kan ge sitt samtycke. Det motsatta måste bevisas av arbetsgivaren.

Begär en anställd tillstånd från sina anställda att behandla sitt fingeravtryck? Då lär AP i samband med detta fall att detta i princip inte är tillåtet. Trots allt är anställda beroende av sin arbetsgivare och är därför ofta inte i stånd att vägra. Det betyder inte att arbetsgivaren aldrig framgångsrikt kan förlita sig på tillståndsgrunden. Arbetsgivaren måste emellertid ha tillräckligt med bevis för att hans överklagande på grundval av samtycke ska lyckas, för att hantera biometriska uppgifter om sina anställda, till exempel fingeravtryck. Tänker du använda biometriska uppgifter inom ditt företag eller ber din arbetsgivare dig om tillstånd att använda ditt fingeravtryck, till exempel? I så fall är det viktigt att inte agera omedelbart och ge tillstånd, utan att först informeras korrekt. Law & More advokater är experter på området integritet och kan ge dig information. Har du några andra frågor om den här bloggen? Vänligen kontakta Law & More.

Dela