Behandling av biometriska personuppgifter med fokus på situationer där den registrerade befinner sig i beroendeställning mot den personuppgiftsansvarige

Vilka personuppgifter är biometriska?

I GDPR definieras biometriska personuppgifter på följande sätt: ”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”. Tillsammans med bland annat uppgifter om hälsa och etniskt ursprung utgör biometriska uppgifter känsliga personuppgifter enligt art. 9 GDPR, vilket i sin tur innebär att GDPR erbjuder ett starkare skydd för dessa personuppgifter och ställer högre krav för att få behandla dem.

Vilka krav ska vara uppfyllda för behandling av biometriska personuppgifter?

För att behandla känsliga personuppgifter, som biometriska uppgifter, finns det tre förutsättningar som ska vara uppfyllda:

  1. Personuppgiftsbehandlingen följer de grundläggande principerna i art. 5 GDPR
  2. Det ska finnas en lämplig rättslig grund enligt art. 6 GDPR
  3. Det ska finnas ett undantag från huvudregeln om förbud mot behandling av känsliga personuppgifter enligt art. 9 GDPR

När det kommer till den tredje punkten ligger fokus på att det som huvudregel är förbjudet att behandla känsliga personuppgifter och att något av undantagen måste vara tillämpligt. Ett sådant undantag kan vara samtycke i form av en viljeförklaring som är frivillig, specifik, informerad och otvetydig. Samtycket kan dock inte användas som rättslig grund när det finns en alltför stor obalans i maktförhållanden mellan den registrerade och den personuppgiftsansvarige.

Arbetsgivares behandling av arbetstagares personuppgifter och varför samtycke inte passar som rättslig grund

Eftersom en obalans i maktförhållanden ofta råder mellan en arbetsgivare och en arbetstagare är det därför svårt för den pesrsonuppgiftsansvarige att använda samtycke som rättslig grund. Den personuppgiftsansvarige måste därför hitta en annan rättslig grund som är lämplig. Andra rättsliga grunder som kan aktualiseras i en sådan situation är stöd i lag eller i kollektivavtal som gäller mellan parterna. Vidare måste även proportionalitetsprincipen beaktas och det ska alltså inte finnas något sätt att uppnå samma syften på ett mindre integritetskänsligt sätt.

Samtycke som rättslig grund i fråga om ansiktsigenkänning för närvarokontroll underkänns av IMY

Integritetskyddsmyndigheten, IMY, har utfärdat en sanktionsavgift på 200 000 kr mot en gymnasieskola i Skellefteå som använde ansiktsigenkänning för att registrera elevernas närvaro. Gymnasieskolan uppgav att samtycke var den lämpliga rättsliga grunden, men detta underkändes av IMY eftersom elever befann sig i en beroendeställning till gymnasieskolan. IMY konstaterade vidare att det fanns andra, mindre ingripande sätt som gymnasieskolan skulle kunna ha använt sig av för att registrera närvaro.

Läs mer:

Höga krav för att få använda ansikts­igenkänning

Här kan du läsa om arbetsgivares behandling av biometriska uppgifter, till exempel ansiktsigenkänning och fingeravtryck.

Biometriska uppgifter ur ett dataskyddsperspektiv

Sanktionsavgift för ansikts­igen­känning i skola

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart