Behandling av biometriska personuppgifter med fokus på situationer där den registrerade befinner sig i beroendeställning mot den personuppgiftsansvarige
Vilka personuppgifter är biometriska?
I GDPR definieras biometriska personuppgifter på följande sätt: ”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”. Tillsammans med bland annat uppgifter om hälsa och etniskt ursprung utgör biometriska uppgifter känsliga personuppgifter enligt art. 9 GDPR, vilket i sin tur innebär att GDPR erbjuder ett starkare skydd för dessa personuppgifter och ställer högre krav för att få behandla dem.
Vilka krav ska vara uppfyllda för behandling av biometriska personuppgifter?
För att behandla känsliga personuppgifter, som biometriska uppgifter, finns det tre förutsättningar som ska vara uppfyllda:
- Personuppgiftsbehandlingen följer de grundläggande principerna i art. 5 GDPR
- Det ska finnas en lämplig rättslig grund enligt art. 6 GDPR
- Det ska finnas ett undantag från huvudregeln om förbud mot behandling av känsliga personuppgifter enligt art. 9 GDPR
När det kommer till den tredje punkten ligger fokus på att det som huvudregel är förbjudet att behandla känsliga personuppgifter och att något av undantagen måste vara tillämpligt. Ett sådant undantag kan vara samtycke i form av en viljeförklaring som är frivillig, specifik, informerad och otvetydig. Samtycket kan dock inte användas som rättslig grund när det finns en alltför stor obalans i maktförhållanden mellan den registrerade och den personuppgiftsansvarige.
Arbetsgivares behandling av arbetstagares personuppgifter och varför samtycke inte passar som rättslig grund
Eftersom en obalans i maktförhållanden ofta råder mellan en arbetsgivare och en arbetstagare är det därför svårt för den pesrsonuppgiftsansvarige att använda samtycke som rättslig grund. Den personuppgiftsansvarige måste därför hitta en annan rättslig grund som är lämplig. Andra rättsliga grunder som kan aktualiseras i en sådan situation är stöd i lag eller i kollektivavtal som gäller mellan parterna. Vidare måste även proportionalitetsprincipen beaktas och det ska alltså inte finnas något sätt att uppnå samma syften på ett mindre integritetskänsligt sätt.
Samtycke som rättslig grund i fråga om ansiktsigenkänning för närvarokontroll underkänns av IMY
Integritetskyddsmyndigheten, IMY, har utfärdat en sanktionsavgift på 200 000 kr mot en gymnasieskola i Skellefteå som använde ansiktsigenkänning för att registrera elevernas närvaro. Gymnasieskolan uppgav att samtycke var den lämpliga rättsliga grunden, men detta underkändes av IMY eftersom elever befann sig i en beroendeställning till gymnasieskolan. IMY konstaterade vidare att det fanns andra, mindre ingripande sätt som gymnasieskolan skulle kunna ha använt sig av för att registrera närvaro.
Läs mer:
Höga krav för att få använda ansiktsigenkänning
