Fingeraftryk som adgangskontrol

Datatilsynet fandt, at en arbejdsgivers brug af fingeraftryk som adgangskontrol til virksomhedens lokaler var i overensstemmelse med de databeskyttelsesretlige regler.

NVI_Portrætter_done_040_web.jpg

Det følger af databeskyttelsesforordningen, at biometriske data, herunder fingeraftryk, udgør særlige personoplysninger. Hvis fingeraftryk behandles med henblik på at identificere en person, kræver behandlingen som udgangspunkt hjemmel i forordningens artikel 9. Hvis en arbejdsgiver behandler fingeraftryk i forbindelse med et ansættelsesforhold for at overholde rettigheder eller forpligtelser fastsat ved kollektiv overenskomst, vil der dog også kunne være hjemmel i databeskyttelseslovens § 12.

I sagen havde et slagteri – i overensstemmelse med DA/LO-aftalen om kontrolforanstaltninger – varslet indførelse af fingeraftryksscannere som adgangskontrol til visse produktionslokaler. Adgangskontrollen blev indført af hensyn til fødevaresikkerheden, herunder for at slagteriet kunne opnå certificering under en række certificeringsordninger på fødevareområdet. Dette var også nødvendigt for at sikre slagteriets eksportmuligheder.

Medarbejdernes faglige organisation klagede til Datatilsynet og anførte bl.a., at der ikke var noget gyldigt behandlingsgrundlag. Derudover mente den faglige organisation ikke, at databeskyttelsesforordningens krav om nødvendighed var opfyldt, da en nøglebrik måtte være tiltrækkeligt til at opfylde formålet.

Hjemmel i kollektiv aftale
Datatilsynet udtalte, at behandling af personoplysninger i ansættelsesforhold som led i en kontrolforanstaltning efter DA/LO-aftalen om kontrolforanstaltninger vil have hjemmel i databeskyttelseslovens § 12. Fordi adgangskontrollen skete som led i en kontrolforanstaltning efter DA/LO-aftalen herom, kunne slagteriet behandle fingeraftrykkene inden for rammerne af databeskyttelseslovens § 12.

Driftsmæssigt begrundet og nødvendig
Datatilsynet fandt derudover, at behandlingen var i overensstemmelse med de databeskyttelsesretlige principper i forordningens artikel 5, hvorefter behandling af personoplysninger bl.a. skal have et legitimt formål og være nødvendige, dvs. at formålet ikke må kunne opnås med mindre indgribende midler.

Datatilsynet udtalte i den forbindelse, at formålet med at varetage fødevaresikkerheden udgjorde et sagligt driftsmæssigt hensyn. Tilsynet fandt ikke grundlag for at tilsidesætte slagteriets vurdering af, at det på grund af risikoen for tyveri eller ombytning af nøglebrikker var nødvendigt at anvende fingeraftryk til adgangskontrol.

Samlet set fandt Datatilsynet således, at behandlingen var i overensstemmelse med de databeskyttelsesretlige regler.

Norrbom Vinding bemærker

  • at Datatilsynets afgørelse viser, at arbejdsgivere har hjemmel til at behandle såvel almindelige som særlige personoplysninger i forbindelse med ansættelsesforhold i databeskyttelseslovens § 12, såfremt behandlingen sker som led i en kontrolforanstaltning etableret i overensstemmelse med en kollektiv aftale, men
  • at behandlingen i øvrigt skal leve op til de databeskyttelsesretlige krav, fx kravet om nødvendighed, hvilket betyder, at der fortsat vil være grænser for, til hvilke formål og med hvilke midler arbejdsgivere lovligt vil kunne behandle medarbejderes fingeraftryk, idet Datatilsynet fx tidligere har fundet, at fingeraftryk ikke kan behandles med henblik på registrering af medarbejderes arbejdstid, fordi arbejdstid kan registreres på en mindre indgribende måde end ved at anvende biometriske data.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet