Tillatelse som unntak for behandling av biometriske data

Nylig påla den nederlandske databeskyttelsesmyndigheten (AP) en stor bot, nemlig 725,000 euro, på et selskap som skannet fingeravtrykk av ansatte for fremmøte og tidsregistrering. Biometriske data, for eksempel et fingeravtrykk, er spesielle personopplysninger i betydningen artikkel 9 GDPR. Dette er unike egenskaper som kan spores tilbake til en spesifikk person. Imidlertid inneholder disse dataene ofte mer informasjon enn det som er nødvendig for for eksempel identifikasjon. Behandlingen av dem utgjør derfor store risikoer på området grunnleggende rettigheter og friheter for mennesker. Hvis disse dataene kommer i gale hender, kan dette potensielt føre til uopprettelig skade. Biometriske data er derfor godt beskyttet, og behandling av disse er forbudt i henhold til artikkel 9 GDPR, med mindre det er et lovlig unntak for dette. I dette tilfellet konkluderte AP med at det aktuelle selskapet ikke hadde rett til unntak for behandling av spesielle personopplysninger.

Om fingeravtrykket i sammenheng med GDPR og et av unntakene, nemlig nødvendighet, skrev vi tidligere i en av bloggene våre: 'Fingeravtrykk i strid med GDPR'. Denne bloggen fokuserer på den andre alternative grunnen for unntak: tillatelse. Når en arbeidsgiver bruker biometriske data som fingeravtrykk i selskapet sitt, kan han, med hensyn til personvern, være tilstrekkelig med tillatelsen fra den ansatte?

Tillatelse som unntak for behandling av biometriske data

Med tillatelse menes a spesifikk, informert og entydig uttrykk for vilje hvor noen aksepterer en behandling av personopplysningene hans med en uttalelse eller entydig aktiv handling, i henhold til artikkel 4 avsnitt 11, GDPR. I forbindelse med dette unntaket må arbeidsgiveren derfor ikke bare demonstrere at hans ansatte har gitt tillatelse, men også at dette har vært entydig, spesifikt og informert. Å signere arbeidsavtalen eller motta personalhåndboken der arbeidsgiveren bare har registrert intensjonen om å klokke helt inn med fingeravtrykket, er ikke tilstrekkelig i denne sammenhengen, konkluderte AP. Som bevis må arbeidsgiveren for eksempel sende inn retningslinjer, prosedyrer eller annen dokumentasjon, som viser at hans ansatte er tilstrekkelig informert om behandlingen av de biometriske dataene og at de også har gitt (eksplisitt) tillatelse til behandling av disse.

Hvis tillatelsen gis av den ansatte, må den dessuten ikke bare være "eksplisitt' men også 'fritt gittifølge AP. 'Eksplisitt' er for eksempel skriftlig tillatelse, signatur, sende en e-post for å gi tillatelse, eller tillatelse med totrinns bekreftelse. "Fritt gitt" betyr at det ikke må være noen tvang bak det (som tilfellet var i det aktuelle tilfellet: når du nekter å få fingeravtrykket skannet, følges en samtale med direktøren / styret) eller at tillatelse kan være en betingelse for noe annerledes. Betingelsen "fritt gitt" er i alle fall ikke oppfylt av arbeidsgiver når arbeidstakere er forpliktet eller, som i det aktuelle tilfellet, opplever det som en plikt å registrere fingeravtrykket. Generelt, ifølge dette kravet, mente AP at gitt det avhengigheten som følger av forholdet mellom arbeidsgiver og arbeidstaker, er det lite sannsynlig at arbeidstakeren fritt kan gi sitt samtykke. Det motsatte må bevises av arbeidsgiveren.

Ber en ansatt tillatelse fra sine ansatte til å behandle fingeravtrykket sitt? Da lærer AP i sammenheng med denne saken at dette i prinsippet ikke er tillatt. Tross alt er ansatte avhengig av arbeidsgiveren deres og er derfor ofte ikke i stand til å nekte. Dette er ikke å si at arbeidsgiveren aldri med hell kan stole på tillatelsesgrunnen. Arbeidsgiveren må imidlertid ha tilstrekkelig bevis for at anken hans på bakgrunn av samtykke skal være vellykket, for å kunne behandle biometriske data fra sine ansatte, for eksempel fingeravtrykk. Har du tenkt å bruke biometriske data i selskapet ditt, eller ber arbeidsgiveren deg om tillatelse til å bruke fingeravtrykket ditt, for eksempel? I så fall er det viktig å ikke handle umiddelbart og å gi tillatelse, men først bli informert ordentlig. Law & More advokater er eksperter på området personvern og kan gi deg informasjon. Har du andre spørsmål om denne bloggen? Vær så snill og kontakt Law & More.

Dele