Brug af fingeraftryk til kontrol af medarbejderes arbejdstid

Datatilsynet har nu slået fast, at virksomheder som udgangspunkt ikke kan anvende medarbejderes fingeraftryk, når det alene sker til brug for registrering af, hvornår medarbejderne møder på og går hjem fra arbejde.

nvi_portraetter_done_046_web.jpg

Det følger af databeskyttelsesforordningen, at biometriske data, herunder fingeraftryk, udgør en såkaldt ”særlig” kategori af oplysninger – også kendt som følsomme oplysninger. Når behandling af fingeraftryk sker til at identificere en fysisk person, skal behandlingen ske i overensstemmelse med et af de behandlingsgrundlag, der følger af databeskyttelsesforordningens artikel 9.

På vegne af en klient henvendte en advokat sig til Datatilsynet med et ønske om Datatilsynets vurdering af, om behandling af medarbejderes fingeraftryk til brug for registrering af medarbejdernes arbejdstid kan ske i medfør af databeskyttelsesforordningens artikel 9, stk. 2, litra f, som omhandler databehandling, der er nødvendig for at fastlægge et retskrav. ”Retskravet” udgjorde i denne situation, at medarbejderne fik deres retmæssige løn, som kunne fastlægges ved at lade medarbejderne identificere sig via deres fingeraftryk.

Datatilsynet udtalte, at en medarbejders krav på løn kan anses for at udgøre et retskrav efter artikel 9, stk. 2, litra f. Datatilsynet uddybede, at kravet om, at behandlingen skal være nødvendig, betyder, at ”behandling skal være mere end blot en praktisk måde at opfylde formålet på.” Desuden må formålet ikke – med rimelighed – være muligt at opnå ved brug af mindre indgribende midler. Altså en proportionalitetsvurdering. Datatilsynet fandt ikke, at dette krav var opfyldt.

Det ville således være muligt for virksomheden at benytte sig af adgangskort eller lignende til brug for registrering af medarbejdernes arbejdstid. Datatilsynet udtalte endvidere, at den risiko for snyd, der måtte være ved brug af adgangskort i stedet for fingeraftryk, ikke opvejede, at kravet om nødvendighed var opfyldt. Behandlingen af medarbejdernes fingeraftryk kunne derfor ikke ske med hjemmel i artikel 9, stk. 2, litra f.

Samtykke som behandlingsgrundlag?
Det er muligt at behandle følsomme personoplysninger, herunder biometriske oplysninger i form af fingeraftryk, når man har opnået samtykke til denne behandling. Dette forudsætter naturligvis, at samtykket lever op til kravene i databeskyttelsesforordningen, herunder kravet om, at samtykket skal være givet ”frivilligt”.

Datatilsynet har i vejledningen om samtykke udtalt om dette krav, at en arbejdsgiver bør være opmærksom på, om den ansattes samtykke reelt er udtryk for den ansattes valg, eller om samtykket er afgivet af frygt for væsentlige negative konsekvenser. Med andre ord vil der være et afhængighedsforhold mellem medarbejderen og arbejdsgiveren.

I denne situation vurderede Datatilsynet ikke, at kravet om, at et frivilligt samtykke var opfyldt. Dette skyldtes det ovenfor omtalte afhængighedsforhold, hvorefter Datatilsynet fandt det tvivlsomt, om en medarbejder ville kunne afvise at give samtykke til behandlingen af oplysninger om medarbejderens fingeraftryk, uden frygt for at en sådan afvisning kunne medføre negative konsekvenser for medarbejderen.

Datatilsynet vurderede derfor, at brug af medarbejdernes fingeraftryk som led i kontrol af arbejdstiden ikke ville kunne ske på baggrund at et samtykke fra medarbejderne.

Norrbom Vinding bemærker

  • at Datatilsynets afgørelse viser, at der skal ske en særskilt vurdering af, om kravet til ”nødvendighed” efter artikel 9, stk. 2, litra f, er opfyldt, og
  • at det er interessant, at Datatilsynet afviser samtykke som mulig hjemmel – men at dette muligt skal ses i lyset af den konkrete sag, og at det fortsat ikke er afklaret, i hvilket omfang samtykke generelt kan bruges som behandlingshjemmel i ansættelsesforhold

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet