Datum Diarienr 2010-11-12 1765-2009 The Phone House AB 131 04 NACKA Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet Datainspektionens beslut Datainspektionen bedömer att The Phone House AB:s (företaget) användning av fingeravtrycksavläsning för närvarokontroll och tidrapportering avseende anställda är tillåten, under förutsättning att bolaget inhämtar samtycken från de anställda enligt 10 personuppgiftslagen. För att det ska vara fråga om giltiga samtycken enligt personuppgiftslagen krävs att de anställda har fått tydlig och utförlig information om behandlingen. Informationen ska uppfylla de krav som uppställs i 25 personuppgiftslagen. De anställda måste vidare erbjudas en alternativ metod till den biometriska behandlingen och får inte utsättas för någon direkt eller indirekt påtryckning att välja det alternativ som innebär behandling av biometriska uppgifter. Datainspektionen förutsätter att företaget iakttar ovan angivna synpunkter. Med dessa synpunkter avslutas tillsynsärendet. Datainspektionen kan komma att följa upp ärendet. Redogörelse för tillsynsärendet Datainspektionen har genom ett anonymt klagomål uppmärksammats på att företaget infört ett system med fingeravtrycksavläsning i sina butikslokaler. Med anledning av vad som gjorts gällande i klagomålet har Datainspektionen genomfört en inspektion av företaget och den behandling av personuppgifter som aktualiseras då företaget använder fingeravtrycksavläsare i sin verksamhet. Protokoll över inspektionen har upprättats och översänts till företaget, som har yttrat sig. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Vid inspektionen och den utredning som i övrigt skett i ärendet har bland annat följande framkommit. Företaget har infört ett system för biometrisk verifiering (fingeravtrycksavläsning) i sina butiker. Den biometriska verifieringen används för närvarokontroll och tidrapportering av anställda. En av anledningarna till att företaget valt biometrisk verifiering, är att företaget upplevt problem med så kallad kompisrapportering, det vill säga att arbetskollegor stämplat in för varandra, vilket i förlängningen har påverkan på bland annat utbetald lön. Ett annat av företaget uppgivet skäl till den biometriska verifieringen är att det är ett effektivt och enkelt sätt att logga in i systemet, vilket underlättar för personalen. Företaget har övervägt alternativa metoder såsom single sign-on eller passerkort. Dessa lösningar råder dock inte bot på problemet med kompisrapportering. När butikspersonalen påbörjar sin anställning sker en enrollering (inskanning och registrering) av deras fingeravtryck. Den inskannade bilden omvandlas till en binär sträng, varefter den inskannade bilden raderas från systemet. Fingeravtrycket kan inte återskapas från den binära strängen. Den binära sträng som skapas är systemunik och det finns i princip inget användningsområde för den utanför systemet. Strängen raderas vid anställningens slut. Informationen lagras på tre servrar i England, varav två finns i outsourcade datacenter. Företaget har upprättat biträdesavtal med leverantörerna av datacentren. Varje gång den anställde påbörjar ett arbetspass, går på lunch, kommer tillbaka från lunch, avslutar ett arbetspass eller dylikt, anger denne sin anställningskod samt sätter sitt finger mot en särskild terminal som skannar av fingeravtrycket och skapar en binär sträng enligt ovan beskrivet förfarande. Den binära strängen som skapas jämförs därefter mot den sträng som skapats vid enrolleringen, varefter terminalen svarar med ett ja eller nej. Företaget anser att den aktuella insamlingen av biometriska uppgifter om de anställda i och för sig är tillåten med stöd av en intresseavvägning enligt 10 punkten f) personuppgiftslagen, men inhämtar trots detta samtycke från berörda arbetstagare. Företaget har tagit fram en särskild samtyckesblankett, som enskilda skriver under i samband med anställning. Företaget lämnar dessutom information om behandlingen innan enrolleringen utförs. Företaget anser att de anställda i och med enrolleringen, genom så kallat konkludent handlande, samtycker till behandlingen. Sida 2 av 7
Anställda som av olika skäl inte vill använda systemet med biometrisk verifiering har möjlighet att istället logga in med anställningsnummer. Enligt företaget är det två personer som valt detta alternativ. Skäl för beslutet Gäller personuppgiftslagens bestämmelser för system som bygger på fingeravtrycksavläsning? Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Enligt definitionen i 3 personuppgiftslagen är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet att betrakta som personuppgifter. De fingeravtryck som automatiskt behandlas av företaget är att beteckna som personuppgifter, varför personuppgiftslagens bestämmelser måste följas. Vilka bestämmelser i personuppgiftslagen ska tillämpas på behandlingen? Personuppgiftslagen kan sägas innehålla två skilda regelverk. Vilket regelverk som ska tillämpas beror på hur personuppgifterna hanteras. Ska uppgifterna ingå i en påtagligt strukturerad samling av personuppgifter, såsom i en databas eller ett ärendehanteringssystem, måste i princip alla regler i personuppgiftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i ostrukturerat material, till exempel uppgifter i löpande text eller uppgifter i ljud- eller bildupptagningar utan koppling till en registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen (5 a första stycket personuppgiftslagen). Sådan ostrukturerad behandling får dock inte utföras om den innebär en kränkning av registrerades personliga integritet. Det aktuella systemet med fingeravtrycksavläsning innebär att personuppgifter fortlöpande lagras i databaser i syfte att identifiera arbetstagare. Under dessa förutsättningar kan det inte anses vara fråga om en sådan behandling av personuppgifter i ostrukturerat material som avses i 5 a personuppgiftslagen. Samtliga bestämmelser i personuppgiftslagen är därmed i princip tilllämpliga på behandlingen. Är systemet med fingeravtrycksavläsning för ändamålen närvarokontroll och arbetstidsrapportering tillåten? I 10 personuppgiftslagen finns en uttömmande uppräkning av i vilka fall det överhuvudtaget är tillåtet att behandla personuppgifter. Huvudregeln är att personuppgifter får behandlas med stöd av samtycke, i annat fall krävs att behandlingen är nödvändig för att uppfylla vissa i paragrafen närmare angivna syften. Sida 3 av 7
Enligt 10 punkten f) får till exempel personuppgifter behandlas med stöd av en så kallad intresseavvägning. Det krävs då att behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige ska kunna tillgodoses och att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Hur en sådan intresseavvägning utfaller beror på omständigheterna i det enskilda fallet. Vid denna bedömning bör man bland annat ta hänsyn till ändamålen med behandlingen och om arbetsgivaren följer reglerna i personuppgiftslagen, exempelvis i fråga om kravet på information, väl avvägda gallringsrutiner samt skydd mot obehörig åtkomst. Innehållet i fackliga överenskommelser kan också ha betydelse för om behandling av personuppgifter i kontrollsyfte är tillåten med stöd av en intresseavvägning enligt personuppgiftslagen. I detta sammanhang är det också värt att framhålla att den arbetsgrupp som inrättats enligt artikel 29 i dataskyddsdirektivet (den så kallade 29-gruppen), och som är EU:s oberoende rådgivande instans för dataskydd och skydd av privatlivet, har antagit ett arbetsdokument om biometri som syftar till att bidra till en effektiv och enhetlig tillämpning av de nationella bestämmelserna om dataskydd inom EU (12168/02/SV WP 80). 29-gruppen har i detta dokument uttalat bland annat följande: En fara i samband med biometrisk databehandling är i synnerhet att en ökad användning av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag [ ] När det gäller behörighetskontroll (autentisering/verifiering) är det arbetsgruppens uppfattning att biometriska system knutna till fysiska drag som inte lämnar spår (till exempel handens struktur, men inte fingermönster) eller biometriska system knutna till fysiska drag som lämnar spår men inte lagrar uppgifter som innehas av någon annan än den person som berörs (det vill säga uppgifterna lagras inte i utrustningen för behörighetskontroll eller lagras i en central databas) medför lägre risk för skyddet av individens grundläggande frioch rättigheter. Flera datainspektioner stödjer denna åsikt och anser att biometrisk information inte bör lagras i en databas, utan uteslutande i utrustning som endast användaren har tillgång till, såsom ett smartkort, en mobiltelefon eller ett bankkort. I applikationer där autentisering/verifiering kan ske utan att biometriska uppgifter behöver lagras centralt bör med andra ord överdriven identifieringsteknik inte tillämpas. Regeringsrätten har i ett avgörande (RÅ 2008 ref. 83) tagit ställning till om behandling av biometriska data i form av fingeravläsning i samband med skolmåltider varit tillåten med stöd av en intresseavvägning enligt personuppgiftslagen. Sakomständigheterna i det målet var liknande de som förelig- Sida 4 av 7
ger i nu aktuella ärende, det var till exempel fråga om behandling av partiella fingeravtryck i en central databas. Regeringsrätten, som ansåg att den aktuella behandlingen endast var tillåten under förutsättning att samtycke inhämtas, uttalade bland annat följande: Behandling av biometriska uppgifter i identifieringssyfte kan av många uppfattas som känslig. Det nu aktuella systemet bygger på att uppgifterna finns i databaser som är tillgängliga för kommunen och att uppgifterna lagras under en förhållandevis lång tid. Den tekniska utformningen av systemet är alltså sådan att behandlingen får anses påkalla att särskilda integritetshänsyn tas. Mot den bakgrunden och då kommunens intresse av att identifiera eleverna torde kunna tillgodoses även med andra metoder finner Regeringsrätten att behandlingen kan vara tillåten endast under förutsättning att samtycke inhämtats. När det gäller den behandling av personuppgifter som aktualiseras i detta ärende gör Datainspektionen följande bedömning: Användningen av system för biometrisk verifiering inger betänkligheter ur integritetshänseende. Biometriska uppgifter är unika för varje individ och är i många fall dessutom permanenta, vilket möjliggör en livslång identifiering av en person. Användningen av biometriska uppgifter ger även upphov till integritetsrisker som kan vara svåra att överblicka i dagsläget. Synen på användningen av system som bygger på biometri bör därför vara restriktiv. Även om det i det aktuella fallet inte är fråga om att registrera fullständiga fingeravtryck kan registreringen uppfattas som ett intrång i den personliga integriteten. Med hänsyn till 29-gruppens uttalande och regeringsrättens avgörande ovan, anser vi att den aktuella behandlingen av biometriska uppgifter innebär ett integritetsintrång som inte står i rimlig proportion till ändamålen med behandlingen. Behandlingen är därför otillåten med stöd av en intresseavvägning enligt 10 punkten f) personuppgiftslagen och får endast utföras med stöd av samtycken från de registrerade. För att ett samtycke skall vara giltigt enligt personuppgiftslagen krävs att det utgör en frivillig, särskild och otvetydig viljeyttring. De registrerade ska vidare ha fått tillräcklig information om behandlingen för att kunna ta ställning till eventuella samtycken. Behandling av biometriska uppgifter i arbetslivet med stöd av samtycke begränsas till sådana situationer där de anställda har ett verkligt fritt val och senare kan ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne. Det innebär bland annat att de anställda måste erbjudas en alternativ metod till den biometriska behandlingen exempelvis möjlighet att logga in genom användarnamn och lösenord istället samt att han eller hon inte utsätts för någon direkt eller indirekt påtryckning att välja det alternativ som innebär behandling av biometriska uppgifter. Sida 5 av 7
Är situationen sådan att den registrerade i praktiken inte kan avstå, är samtycket inte frivilligt. I ärendet har framkommit att ni informerar de anställda på olika sätt om behandlingen av biometriska uppgifter. Men det är inte närmare klarlagt vad informationen innehåller. För att de anställda ska kunna lämna ett informerat samtycke måste ni ha informerat dem om behandlingen på det sätt som personuppgiftslagen kräver. I 25 personuppgiftslagen finns regler om vad information ska innehålla. Av bestämmelsen framgår att informationen ska vara tydlig och begriplig och omfatta: uppgifter om den som är personuppgiftsansvarig ändamålen med behandlingen, det vill säga varför personuppgifterna registreras och hur de ska användas övrig information som den registrerade behöver känna till, till exempel: - vilka typer av uppgifter som ska behandlas - till vilka företag eller andra organisationer (eller typer av dessa) som uppgifterna kan komma att lämnas ut - om det är frivilligt för den registrerade att lämna uppgifter - att den registrerade har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om honom eller henne - att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta uppgifter som är felaktiga, ofullständiga eller missvisande Av den samtyckesblankett som ni har tagit fram och som bifogats ärendet framgår inte om det är frivilligt för de anställda att registrera sina fingeravtryck. Det framgår inte heller att de biometriska uppgifterna behandlas vid outsourcade datacenter. För att de anställda ska kunna lämna giltiga samtycken enligt personuppgiftslagen krävs att ni informerar om detta. Den informationen kan i och för sig lämnas muntligt, men vi rekommenderar ändå att blanketten kompletteras med denna information. Vi förutsätter att ni beaktar ovan angivna synpunkter och vidtar de åtgärder som eventuellt behövs för att behandlingen ska vara tillåten enligt personuppgiftslagen. Ärendet avslutas därmed. Sida 6 av 7
Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Oskar Öhrström Sida 7 av 7