Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol

Bech Bruun
11/08/2020
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Bech Bruun logo
Datatilsynet og Datarådet anerkender brug af medarbejderes fingeraftryk ved adgangskontrol, som i det konkrete tilfælde udgjorde en kontrolforanstaltning i henhold til DA/LO-aftalen om kontrolforanstaltninger.


Den konkrete sag opstod, da en fagforening på vegne af et medlem klagede til Datatilsynet over en arbejdsgivers påtænkte behandling af medarbejderens fingeraftryk ifm. adgang til og fra arbejdspladsen. Fagforeningen mente i den forbindelse, at der ikke var hjemmel til dette, og herunder at formålet med behandlingen kunne opnås med mindre indgribende midler, fx brug af nøglebrikker og/eller -kort.

Arbejdsgiveren anførte som forsvar, at adgangskontrollen udgjorde en kontrolforanstaltning, som var varslet i overensstemmelse med DA/LO-aftalen om kontrolforanstaltninger. Arbejdsgiverens hjemmel til behandlingen af fingeraftrykket til adgangskontrol var databeskyttelseslovens § 7, stk. 2 og § 12, stk. 1 ved den arbejdsretlige forpligtelse.

Ligeledes anførte arbejdsgiveren, at lovkrav i henhold til fødevarelovgivningen vedr. produktionen, herunder eksportmuligheder, adgangskontrol til produktionen, identifikation af deltagere i produktionen, mv. var saglige argumenter for brug af fingeraftrykket som identifikationsmiddel. Desuden argumenterede arbejdsgiveren for, at nøglebrikker og/eller -kort, som medarbejderne scanner, kan medføre usikkerhed ift. den entydige identifikation af medarbejdere pga. risiko for tyveri, tab eller ombytning.

Efter behandling på et møde i Datarådet, blev det fastslået, at arbejdsgiverens behandling af fingeraftrykket var lovlig, da denne sker inden for rammerne af databeskyttelseslovens § 12, stk. 1 og databeskyttelsesforordningens artikel 5.


Bech-Bruuns kommentarer


Indledningsvist understreger afgørelsen, at behandlingen af oplysninger om fingeraftryk i form af templates (dvs. matematisk beregnet værdi af et biometrisk aftryk), der matches op imod en database med de ansattes fingeraftryk, er omfattet af databeskyttelsesforordningen art. 9, stk. 1, da  behandlingen af biometrisk data sker for at sikre entydig identifikation.

Datarådet  og Datatilsynet fandt, at virksomheden i det konkrete tilfælde var berettiget til at behandle fingeraftrykket uden samtykke fra medarbejderen, fordi de kunne begrunde behandlingen i databeskyttelseslovens § 12, stk. 1 som følge af arbejdsretslovens § 9, stk. 1 og i DA/LO-aftalen om kontrolforanstaltninger. Derudover kunne virksomheden i det konkrete tilfælde også løfte bevisbyrden for saglige, driftsmæssige hensyn.

Virksomheden kunne derfor implementere behandlingen efter varsling og uden at stille alternativer til rådighed for medarbejderen. I den forbindelse bemærker vi, at indhentelse af medarbejderens samtykke oftest vil være det behandlingsgrundlag, som skal benyttes. Forudsætningen for, at et sådant samtykke kan anses som værende gyldigt afgivet i et ansættelsesforhold, er, at medarbejderen har mulighed for at fravælge at afgive samtykket, og i stedet anvende alternative adgangsmetoder fx nøglebrik, adgangskort, mv., hvilket skal sikre frivilligheden i samtykket. Dette skyldes særligt, at langt de færreste virksomheder, der kan løfte bevisbyrden for saglige driftsmæssige hensyntagen, indfører en så indgribende adgangsstyring til sine fysiske faciliteter.

Datarådet og Datatilsynet lægger i afgørelsen ligeledes vægt på de sikkerhedsmæssige foranstaltninger, som virksomheden implementerede i forbindelse med brugen af fingeraftrykket. Af samme grund henstiller Bech-Bruun til nøje at overveje både sagligheden, men også den forbundne sikkerhed, hvis man overvejer at implementere en lignende løsning, der medfører behandling af biometrisk data, hvorfor virksomheden bør foretage en risikovurdering samt evt. en konsekvensanalyse (DPIA).

Endelig skal det understreges, at afgørelsen alene forholder sig til virksomheder inden for DA/LO-området.

Læs Datatilsynets nyhed her.

Læs den fulde afgørelse her.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Københavns Kommune får kritik i tilsynssag om AULA
Københavns Kommune får kritik i tilsynssag om AULA
04/07/2024
Persondata
Datatilsynet har opdateret vejledningen om håndtering af brud
Datatilsynet har opdateret vejledningen om håndtering af brud
04/07/2024
Persondata, Compliance
Ny afgørelse om manglende indsigt i og sletning af tv-overvågningsoptagelser
Ny afgørelse om manglende indsigt i og sletning af tv-overvågningsoptagelser
12/07/2024
Persondata
EU AI Act - få et overblik over datoerne for anvendelse
EU AI Act - få et overblik over datoerne for anvendelse
15/07/2024
EU-ret, Persondata, Compliance
Manglende kontrol af automatiske sletninger fører til kritik fra Datatilsynet
Manglende kontrol af automatiske sletninger fører til kritik fra Datatilsynet
15/07/2024
Persondata, Compliance
Digitaliseringsstyrelsen ændrer kørekorts-app'en efter forbud mod at behandle personoplysninger
Digitaliseringsstyrelsen ændrer kørekorts-app'en efter forbud mod at behandle personoplysninger
16/07/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted