Vejledende udtalelse om anvendelsen af fingeraftryk til brug for registrering af ansattes komme-/gå-tider

Publiceret 29-05-2019
Afgørelse Private virksomheder

Datatilsynet har afgivet en vejledende udtalelse i forhold til spørgsmålet om anvendelsen af fingeraftryk (templates) til brug for registrering af ansattes komme-/gå-tider som led i kontrol af de ansattes arbejdstid.

Journalnummer 2018-211-0135

Resume

Datatilsynet har modtaget en henvendelse fra en advokat, som på vegne af en klient ønskede tilsynets stillingtagen til, om behandling af oplysninger om ansattes fingeraftryk (templates) til brug for registrering af ansattes komme/gå tider som led i kontrol af de ansattes arbejdstid kan anses for nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra f.

Behandling af biometrisk data – som f.eks. oplysninger om fingeraftryk – med henblik på entydig identifikation af en fysisk person er ifølge databeskyttelsesforordningen omfattet af databeskyttelsesforordningens artikel 9 om følsomme oplysninger.

Datatilsynet udtalte – efter sagen havde været behandlet i Datarådet – at forbuddet mod behandling af oplysninger om en ansats fingeraftryk, herunder templates, i forordningens artikel 9, stk. 1, til brug for registrering af ansattes komme/gå tider ikke kan fraviges med henvisning til databeskyttelsesforordningens artikel 9, stk. 2, litra f (retskrav), når behandling sker som led i kontrol af en ansats arbejdstid.

Datatilsynet fandt endvidere anledning til at overveje, om behandling af ansattes fingeraftryk med henblik på at kontrollere ansattes komme/gå tider som led i tidskontrol vil kunne ske på baggrund af et samtykke fra den ansatte.

I den forbindelse vurderede Datatilsynet, at en ansats samtykke til, at en arbejdsgiver kan behandle oplysninger om vedkommendes fingeraftryk i forbindelse med tidskontrol, som det klare udgangspunkt ikke kan anses for at være givet frivilligt og dermed udgøre et gyldigt behandlingsgrundlag.

Afgørelse

1.

Datatilsynet vender hermed tilbage til sagen, hvor du på vegne af TimePlan A/S har rettet henvendelse til tilsynet vedrørende anvendelsen af fingeraftryk (templates) til brug for registrering af ansattes komme/gå tider som led i kontrol af de ansattes arbejdstid.

Behandling af biometrisk data – som f.eks. oplysninger om fingeraftryk – med henblik på entydig identifikation af en fysisk person er ifølge databeskyttelsesforordningen omfattet af databeskyttelsesforordningens artikel 9 om følsomme oplysninger.

Datatilsynets praksis om anvendelsen af fingeraftryk angår det tidligere retsgrundlag i persondataloven, og sagen har derfor været forelagt Datarådet. 

Datatilsynet skal herefter udtale følgende:

Forbuddet mod behandling af oplysninger om en ansats fingeraftryk, herunder templates, i forordningens artikel 9, stk. 1, til brug for registrering af ansattes komme/gå tider kan ikke fraviges med henvisning til databeskyttelsesforordningens artikel 9, stk. 2, litra f (retskrav), når behandling sker som led i kontrol af en ansats arbejdstid, idet bestemmelsens nødvendighedskrav ikke er opfyldt.

Nedenfor følger en præsentation af sagen og en begrundelse for Datatilsynets udtalelse.

2. Sagsfremstilling

Du har på vegne af TimePlan A/S rettet henvendelse til Datatilsynet vedrørende anvendelsen af fingeraftryksscanning til brug for registrering af ansattes komme/gå tider.

Du har oplyst, at TimePlan A/S har udviklet programmet, TimePlan, der af kunderne benyttes i forbindelse med en effektiv og økonomisk løsning af vagtplanlægning til tidsregistrering helt frem til udarbejdelsen af løndata, som overføres fra programmet til kundernes lønsystemer.

Programmet er modulopbygget, og et af modulerne anvendes til tidsregistrering. Der er i den forbindelse mulighed for at tilkoble en fingeraftryksscanner, så programmet ved hjælp af fingeraftryk (templates) kan sikre, hvilken medarbejder der benytter scanneren i forbindelse med, at medarbejderen møder eller forlader arbejdspladsen, således at der sker en præcis identifikation af den pågældende medarbejder.

De kunder, der benytter modulet i TimePlan, anvender det alene for at sikre, at der kan foretages korrekt registrering af fremmøde, således at der er et korrekt grundlag for beregning af løn, løntillæg m.m. Timeplan A/S vil af hensyn til kunder og brugere af programmet gerne sikre sig, at den fremtidige benyttelse af funktionen kan anses for omfattet af databeskyttelsesforordningens artikel 9, stk. 2, litra f, om fastlæggelsen af retskrav.

Oplysninger om de ansattes fingeraftryk vil blive lagret som templates, der opbevares krypteret i en central database. 

Du har anmodet Datatilsynet om at bekræfte, at den beskrevne brug af templates udregnet på baggrund af fingeraftryk vil kunne anvendes som skitseret.

3. Retligt grundlag for Datatilsynets udtalelse

3.1. Databeskyttelsesforordningens anvendelsesområde

Databeskyttelsesforordningen finder ifølge artikel 2, stk. 1, anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Ved personoplysninger forstås ifølge forordningens artikel 4, nr. 1, enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«). 

Det er Datatilsynets opfattelse, at der såvel i forbindelse med indsamling (indrollering[1]) af aftrykket af en finger, der skal danne grundlag for biometrisk genkendelse eller identifikation, som ved den efterfølgende brug (matchning) af aftrykket i forbindelse med den biometriske løsning, er tale om en behandling af personoplysninger omfattet af databeskyttelsesforordningen.

3.2. Kategorien af oplysninger

Begrebet biometriske data defineres ifølge forordningens artikel 4, nr. 14, som personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.

Behandlingen af oplysninger om fingeraftryk i form af templates vil på den baggrund udgøre en behandling af biometriske data.

Efter ordlyden af databeskyttelsesforordningens artikel 9, stk. 1, vil biometriske data, herunder oplysninger om fingeraftryk, kun skulle anses som en særlig kategori af oplysninger, når behandling sker med det formål entydigt at identificere en fysisk person.

Efter Datatilsynets opfattelse skal der derfor sondres mellem, om behandling sker med det formål entydigt at identificere en fysisk person eller om behandling sker til andre formål - f.eks. verifikation (autentifikation).

Der vil være tale om behandling med det formål entydigt at identificere en fysisk person, som er omfattet af forbuddet i forordningens artikel 9, stk. 1, når der sker sammenligning af oplysninger om en persons fingeraftryk (indsamlet på tidspunktet for identifikation) med en række biometriske skabeloner, som er lagret i en database, således at der sker med en eller flere matchprocesser[2].

På baggrund af det, der er oplyst til sagen, finder Datatilsynet at kunne lægge til grund, at TimePlan A/S’ løsning fungerer ved, at den ansattes fingeraftryk (template) matches op imod en database indeholdende de ansattes fingeraftryk, således at der kan ske entydig identifikation af, hvilken medarbejder der tilgår og forlader arbejdspladsen og hvornår dette sker. Der er derfor tale om enbehandling af særlige kategorier af oplysninger omfattet af forbuddet i forordningens artikel 9, stk. 1.

I henhold til databeskyttelsesforordningens artikel 9, stk. 1, gælder der som udgangspunkt et forbud mod behandling af oplysninger omfattet af forordningens artikel 9. Forbuddet finder dog ikke anvendelse, hvis en af undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2, eller betingelserne i databeskyttelseslovens § 7 er opfyldt.

3.3. Behandling er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares

Forbuddet i databeskyttelsesforordningens artikel 9 stk. 1, mod behandling af bl.a. biometriske data med det formål entydigt at identificere en fysisk person finder ifølge bestemmelsens stk. 2, litra f, ikke anvendelse, hvis behandling er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.

Det er Datatilsynets opfattelse, at en ansats krav på (retmæssig) løn – og arbejdsgiverens krav på alene at udbetale den løn, som den ansatte er berettiget til – kan anses for at udgøre et retskrav.

Efter Datatilsynets opfattelse indebærer kravet om nødvendighed i databeskyttelsesforordningens artikel 9, stk. 2, litra f, imidlertid, at behandling skal være mere end blot en praktisk måde at opfylde formålet på, ligesom kravet om nødvendighed indebærer, at formålet objektivt set ikke med rimelighed må kunne opnås ved mindre indgribende midler.

Det er Datatilsynets opfattelse, at kontrol af ansattes komme/gå tider kan foretages med mindre indgribende midler, som ikke nødvendiggør behandling af følsomme oplysninger. Det vil f.eks. være muligt at kontrollere, hvornår en ansat er kommet og gået fra arbejdspladsen ved at anvende adgangskort eller andre lignende foranstaltninger – eventuelt i kombination med andre foranstaltninger, herunder stikprøvekontroller eller manuel (personlig) kontrol ved indgangen.

Den risiko, der måtte være for snyd ved anvendelsen af andre og mindre indgribende løsninger – f.eks. adgangskort eller lignende – er efter Datatilsynets opfattelse ikke af en sådan karakter, at dette nødvendiggør en systematisk behandling af biometriske oplysninger. Det er således Datatilsynets vurdering, at de mulige fordele, der er ved en løsning som den foreliggende, ikke kan opveje, at løsningen beror på anvendelsen af oplysninger omfattet af artikel 9.

Datatilsynet vurderer på den baggrund, at nødvendighedskravet i databeskyttelsesforordningens artikel 9, stk. 2, litra f, ikke er opfyldt. 

3.4. Samtykke

Datatilsynet har fundet anledning til at overveje, om behandling af ansattes fingeraftryk med henblik på at kontrollere ansattes komme/gå tider som led i tidskontrol vil kunne ske på baggrund af et samtykke fra den ansatte.

Forbuddet mod behandling af følsomme oplysninger, herunder behandling af biometriske data med det formål entydigt at identificere en fysisk person i databeskyttelsesforordningens artikel 9, stk. 1, finder ikke anvendelse, hvis den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke, jf. forordningens artikel 9, stk. 2, litra a.

Af databeskyttelsesforordningens artikel 4, nr. 11, fremgår det, at der ved et samtykke fra den registrerede forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Databeskyttelsesforordningens artikel 7, stk. 1-4, indeholder betingelserne for samtykke som behandlingsgrundlag. Det følger heraf, at:

  1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

  2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.

  3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

  4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

Det følger herudover af databeskyttelseslovens § 12, stk. 3, at behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registreredes samtykke i overensstemmelse med artikel 7 i databeskyttelsesforordningen.

Det er således en betingelse for at kunne anvende samtykke som behandlingsgrundlag, at samtykket er bl.a. frivilligt, hvilket f.eks. indebærer, at den ansatte har et reelt og frit valg og kontrol med behandling af sine personoplysninger.

Som følge af det afhængighedsforhold, der er mellem en arbejdsgiver og en ansat, er det efter Datatilsynets opfattelse tvivlsomt, om en ansat kan afvise at give en arbejdsgiver sit samtykke til behandlingen af oplysninger om vedkommendes fingeraftryk med henblik på at kontrollere den ansattes komme/gå tider uden frygt eller reel risiko for, at afvisningen vil være til skade for den pågældende eller uden at føle et vist pres[3].

Det er på den baggrund Datatilsynets opfattelse, at en ansats samtykke til, at en arbejdsgiver kan behandle oplysninger om vedkommendes fingeraftryk i forbindelse med tidskontrol, som det klare udgangspunkt ikke kan anses for at være givet frivilligt. Hvis et samtykke ikke kan anses for at være frivilligt, kan det ikke udgøre et gyldigt behandlingsgrundlag. Datatilsynet kan dog ikke afvise, at der kan foreligge særlige omstændigheder, hvorunder et samtykke kan anses for frivilligt.

 

[1] Det vil sige, hvor der første gang sker indscanning af det objekt, der skal danne grundlag for udregningen af den matematisk beregnede værdi – f.eks. et billede af det fulde fingeraftryk. En matematisk beregnet værdi af et biometrisk aftryk betegnes en template.

[2] Dette er processen, hvor biometriske oplysninger/skabeloner (indsamlet under registrering) sammenlignes med de biometriske oplysninger/skabeloner, der bliver indsamlet fra en ny prøve, med henblik på identifikation, verifikation/autentifikation eller kategorisering.

[3] Der henvises i den forbindelse til side 7 i Artikel 29-gruppens retningslinjer om samtykke efter databeskyttelsesforordningen (WP259) og vejledningen om samtykke, der er tilgængelige på tilsynets hjemmeside.