Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol

Datatilsynet og Datarådet anerkender brug af medarbejderes fingeraftryk ved adgangskontrol, som i det konkrete tilfælde udgjorde en kontrolforanstaltning i henhold til DA/LO-aftalen om kontrolforanstaltninger.


Den konkrete sag opstod, da en fagforening på vegne af et medlem klagede til Datatilsynet over en arbejdsgivers påtænkte behandling af medarbejderens fingeraftryk ifm. adgang til og fra arbejdspladsen. Fagforeningen mente i den forbindelse, at der ikke var hjemmel til dette, og herunder at formålet med behandlingen kunne opnås med mindre indgribende midler, fx brug af nøglebrikker og/eller -kort.

Arbejdsgiveren anførte som forsvar, at adgangskontrollen udgjorde en kontrolforanstaltning, som var varslet i overensstemmelse med DA/LO-aftalen om kontrolforanstaltninger. Arbejdsgiverens hjemmel til behandlingen af fingeraftrykket til adgangskontrol var databeskyttelseslovens § 7, stk. 2 og § 12, stk. 1 ved den arbejdsretlige forpligtelse.

Ligeledes anførte arbejdsgiveren, at lovkrav i henhold til fødevarelovgivningen vedr. produktionen, herunder eksportmuligheder, adgangskontrol til produktionen, identifikation af deltagere i produktionen, mv. var saglige argumenter for brug af fingeraftrykket som identifikationsmiddel. Desuden argumenterede arbejdsgiveren for, at nøglebrikker og/eller -kort, som medarbejderne scanner, kan medføre usikkerhed ift. den entydige identifikation af medarbejdere pga. risiko for tyveri, tab eller ombytning.

Efter behandling på et møde i Datarådet, blev det fastslået, at arbejdsgiverens behandling af fingeraftrykket var lovlig, da denne sker inden for rammerne af databeskyttelseslovens § 12, stk. 1 og databeskyttelsesforordningens artikel 5.


Bech-Bruuns kommentarer

Indledningsvist understreger afgørelsen, at behandlingen af oplysninger om fingeraftryk i form af templates (dvs. matematisk beregnet værdi af et biometrisk aftryk), der matches op imod en database med de ansattes fingeraftryk, er omfattet af databeskyttelsesforordningen art. 9, stk. 1, da  behandlingen af biometrisk data sker for at sikre entydig identifikation.

Datarådet  og Datatilsynet fandt, at virksomheden i det konkrete tilfælde var berettiget til at behandle fingeraftrykket uden samtykke fra medarbejderen, fordi de kunne begrunde behandlingen i databeskyttelseslovens § 12, stk. 1 som følge af arbejdsretslovens § 9, stk. 1 og i DA/LO-aftalen om kontrolforanstaltninger. Derudover kunne virksomheden i det konkrete tilfælde også løfte bevisbyrden for saglige, driftsmæssige hensyn.

Virksomheden kunne derfor implementere behandlingen efter varsling og uden at stille alternativer til rådighed for medarbejderen. I den forbindelse bemærker vi, at indhentelse af medarbejderens samtykke oftest vil være det behandlingsgrundlag, som skal benyttes. Forudsætningen for, at et sådant samtykke kan anses som værende gyldigt afgivet i et ansættelsesforhold, er, at medarbejderen har mulighed for at fravælge at afgive samtykket, og i stedet anvende alternative adgangsmetoder fx nøglebrik, adgangskort, mv., hvilket skal sikre frivilligheden i samtykket. Dette skyldes særligt, at langt de færreste virksomheder, der kan løfte bevisbyrden for saglige driftsmæssige hensyntagen, indfører en så indgribende adgangsstyring til sine fysiske faciliteter.

Datarådet og Datatilsynet lægger i afgørelsen ligeledes vægt på de sikkerhedsmæssige foranstaltninger, som virksomheden implementerede i forbindelse med brugen af fingeraftrykket. Af samme grund henstiller Bech-Bruun til nøje at overveje både sagligheden, men også den forbundne sikkerhed, hvis man overvejer at implementere en lignende løsning, der medfører behandling af biometrisk data, hvorfor virksomheden bør foretage en risikovurdering samt evt. en konsekvensanalyse (DPIA).

Endelig skal det understreges, at afgørelsen alene forholder sig til virksomheder inden for DA/LO-området.

Læs Datatilsynets nyhed her.

Læs den fulde afgørelse her.