Hoppa till innehåll på sidan

Biometriska uppgifter i arbetslivet

Här kan du läsa om vad som gäller för arbetsgivares behandling av biometriska personuppgifter, till exempel ansiktsigenkänning och inläsning av fingeravtryck.

Med biometriska uppgifter menas personuppgifter som samlats in genom en särskild teknisk behandling som rör någons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna person.

Biometriska uppgifter är känsliga personuppgifter

Biometriska uppgifter för att entydigt identifiera den anställda är känsliga personuppgifter enligt dataskyddsförordningen. Utgångspunkten är därför att det är förbjudet att behandla sådana uppgifter, eftersom behandlingen normalt innebär ett allt för stort intrång i de anställdas integritet.

Känsliga personuppgifter

En arbetsgivare som vill behandla biometriska uppgifter om anställda måste ha en rättslig grund för behandlingen. Arbetsgivare kan i regel inte stödja behandlingen på samtycken från de anställda. Europeiska dataskyddsstyrelsen, EDPB, har i sina riktlinjer om samtycke uttalat att det är problematiskt att arbetsgivare behandlar befintliga eller framtida anställdas personuppgifter baserat på samtycke, eftersom det är osannolikt att samtycket ges frivilligt.

En arbetsgivare som vill behandla biometriska uppgifter om anställda måste därför ofta hitta en annan rättslig grund än samtycke, exempelvis att det finns stöd för behandlingen i lag eller kollektivavtal som innehåller lämpliga skyddsåtgärder. Då kan ett undantag från förbudet vara aktuellt.

Rättslig grund

För att behandlingen inte ska komma i konflikt med grundläggande principer krävs att ändamålet med behandlingen inte kan uppnås på ett sätt som är mindre integritetskänsligt för de anställda. Det är därför som regel inte tillåtet att använda biometriska uppgifter för närvarokontroll.

IMY:s beslut om användning av ansiktsigenkänning för närvarokontroll

Tungt vägande skäl krävs

För att en arbetsgivare ska kunna behandla biometriska uppgifter för att entydigt identifiera anställda krävs tungt vägande skäl. Säkerhetsskäl väger tyngre än effektivitetsskäl. Exempel på vad som behöver vägas in i bedömningen är:

  • vilket slags verksamhet som bedrivs
  • för vilket syfte behandlingen görs
  • vilken typ av biometriska uppgifter som registreras och hur omfattande behandlingen är (till exempel om den sker slentrianmässigt i den löpande verksamheten)
  • hur länge uppgifterna sparas
  • om det är möjligt att återskapa exempelvis ett fingeravtryck utifrån de uppgifter som registreras
  • om det finns risk för att uppgifterna på något sätt skulle kunna missbrukas eller användas för andra ändamål än det avsedda
  • om uppgifterna ska sparas lokalt eller centralt
  • vilka tekniska och organisatoriska säkerhetsåtgärder som omgärdar de uppgifter som behandlas.

Konsekvensbedömning ett måste i vissa fall

Arbetsgivaren måste överväga om det krävs en konsekvensbedömning innan behandlingen av biometriska personuppgifter påbörjas. Ett exempel på en behandling som kräver konsekvensbedömning är när en arbetsgivare inför ett inpasseringssystem som innefattar biometriska uppgifter i syfte att identifiera en viss fysisk person, till exempel genom ansiktsigenkänning eller  fingeravtrycksavläsning.

Konsekvensbedömning

 

Senast uppdaterad: 29 november 2024
Sidans etiketter Dataskydd, Arbetsliv