meny

Biometri

Här kan du läsa om arbetsgivares behandling av biometriska uppgifter, till exempel ansiktsigenkänning och fingeravtryck.

Med biometriska uppgifter menas personuppgifter som samlats in genom en särskild teknisk behandling som rör någons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna person. Det kan till exempel handla om ansiktsigenkänning eller fingeravtryck.

Biometriska uppgifter för att entydigt identifiera den anställda är känsliga personuppgifter enligt dataskyddsförordningen. Utgångspunkten är därför att det är förbjudet att behandla sådana uppgifter, eftersom behandlingen normalt innebär ett stort intrång i de anställdas integritet. Arbetsgivare kan därför i regel inte stödja behandlingen på samtycken från de anställda.

En arbetsgivare som vill använda sig av biometriska uppgifter om anställda måste därför ofta hitta en annan rättslig grund än samtycke, exempelvis att det finns stöd i lag eller kollektivavtal som innehåller lämpliga skyddsåtgärder. För att behandlingen inte ska komma i konflikt med grundläggande principer krävs att ändamålet med behandlingen inte kan uppnås på ett sätt som är mindre integritetskänsligt för de anställda. Det är därför som regel inte tillåtet att använda biometriska uppgifter för närvarokontroll.  

För att en arbetsgivare ska kunna behandla biometriska uppgifter för att entydigt identifiera anställda krävs tungt vägande skäl. Säkerhetsskäl väger tyngre än effektivitetsskäl. Exempel på vad som behöver vägas in är:

  • vilket slags verksamhet som bedrivs
  • för vilket syfte behandlingen görs
  • vilken typ av biometriska uppgifter som registreras och hur omfattande behandlingen är (till exempel om den sker slentrianmässigt i den löpande verksamheten)
  • hur länge uppgifterna sparas
  • om det är möjligt att återskapa exempelvis ett fingeravtryck utifrån de uppgifter som registreras
  • om det finns risk för att uppgifterna på något sätt skulle kunna missbrukas eller användas för andra ändamål än det avsedda
  • om uppgifterna ska sparas lokalt eller centralt
  • vilka tekniska och organisatoriska åtgärder som omgärdar de uppgifter som behandlas.

Arbetsgivaren måste överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas. Ett exempel på en behandling som kräver konsekvensbedömning är när en arbetsgivare inför ett inpasseringssystem som innefattar biometriska uppgifter i syfte att identifiera en viss fysisk person, till exempel fingeravtrycksavläsning.

Skyldigheten att utföra en konsekvensbedömning