Ny afgørelse om brug af fingeraftryk ved adgangskontrol

Datatilsynet har i en konkret sag truffet afgørelse om, at det ikke er i strid med databeskyttelseslovgivningen, at en virksomhed behandler oplysninger om fingeraftryk med henblik på entydig identifikation af medarbejdere.

Sagen udsprang af, at en fagforening, på vegne af et medlem, klagede over, at en virksomhed behandlede personoplysninger om medarbejderes fingeraftryk.

Datatilsynet vurderede, at arbejdsgiveren var berettiget til at behandle medarbejderens fingeraftryk uden samtykke, da behandlingen var velbegrundet og skete med henblik på entydig identifikation af medarbejderen.
News
Ansættelsesret

SAGEN KORT

Datatilsyn kom frem til dette resultat, da der ved virksomhedens behandlingen af medarbejderes fingeraftryk var tale om en kontrolforanstaltning, som var varslet i henhold til DA/LO-aftalen om kontrolforanstaltninger.

Baggrunden for kontrolforanstaltningen blev begrundet med, at det var afgørende for virksomhedens fødevaresikkerhed og eksportmuligheder, at det altid kan identificeres, hvem der har taget del i produktionen af et produkt, samt at uvedkommende bliver udelukket fra adgang til produktionen.

UTILSTRÆKKELIG SIKKERHED

Afgørelsen begrundes også i, at det ikke var muligt for virksomheden at iværksætte mindre indgribende foranstaltninger for at opnå det samme niveau af entydig identifikation.

Nøglebrikker, som medarbejderne scanner, giver ikke tilstrækkelig sikkerhed for, at det entydigt kan identificeres, hvem der har været til stede i produktionen, da der kan ske tyveri af nøglebrikker eller ombytning af nøglebrikker såvel fejlagtigt som bevidst.

AFGØRELSEN

Datatilsynet besluttede, at arbejdsgiveren havde handlet i overensstemmelse med databeskyttelseslovgivningen ved behandling af oplysninger om fingeraftryk, og at denne behandling skete inden for lovens rammer, jf. databeskyttelseslovens §12, stk. 1 og databeskyttelsesforordningens artikel 5.   

Du kan læse sagens fulde afgørelse her.

LUND ELMER SANDAGERS KOMMENTAR

Datatilsynet fandt, at virksomheden udførte kontrolforanstaltningen efter saglige og nødvendige hensyn. Virksomheden var derfor berettiget til at behandle medarbejderens fingeraftryk uden samtykke, da behandlingen kunne begrundes.

Afgørelsen skal ses i sammenhæng med Datatilsynets vejledende udtalelse fra juni 2019, hvorefter arbejdsgivere ikke kan behandle fingeraftryk til kontrol af medarbejderes arbejdstid med henvisning til, at retskrav kan fastlægges eller efter indhentelse af et samtykke herom. I denne situation vil samme retsbeskyttelse kunne opnås ved mindre indgribende midler, f.eks. vil det være muligt at kontrollere, hvornår en ansat er kommet og gået fra arbejdspladsen ved at anvende adgangskort eller andre lignende foranstaltninger – eventuelt i kombination med andre foranstaltninger, herunder stikprøvekontroller eller manuel (personlig) kontrol ved indgangen. Den risiko, der måtte være for snyd ved anvendelsen af andre og mindre indgribende løsninger – f.eks. adgangskort eller lignende – er efter Datatilsynets opfattelse ikke af en sådan karakter, at dette nødvendiggør en systematisk behandling af biometriske oplysninger. 

Det er Lund Elmer Sandagers vurdering, at virksomheder derfor konkret skal overveje sagligheden af behandlingen af oplysninger om medarbejderes fingeraftryk nøje og sikre, at behandlingen sker inden for databeskyttelseslovgivningens rammer.

Har du spørgsmål omkring DA/LO aftalen om kontrolforanstaltninger eller ønsker du rådgivning om behandling af fingeraftryk eller andre GDPR relaterede spørgsmål, er du velkommen til at kontakte vores specialist inden for arbejdsret, partner, advokat Michael Møller Nielsen, eller vores specialist inden for GDPR, associeret partner, advokat Torsten Hylleberg.