Biometriske data - Udfordringen med at finde en balance mellem 'nice to have' og 'need to have'

Biometriske data åbner op for meget vide anvendelsesmuligheder, som blot venter på at blive udforsket, men det kan være svært at finde frem til et gyldigt behandlingsgrundlag, navnlig i tilfælde hvor der er et over-/underordnelsesforhold mellem parterne. Her vil samtykke vanskeligt kunne udgøre behandlingsgrundlaget.

Allerede i maj 2019 offentliggjorde Datatilsynet en vejledende udtalelse om ’anvendelse af fingeraftryk til brug for registrering af ansattes komme-/gå-tider som led i kontrol af de ansattes arbejdstid’ (Datatilsynets J.nr. 2018-211-0135). Datatilsynets konklusionen var, at art. 9.2 (f) om behandling, der er nødvendig for at fastlægge et retskrav (dvs. medarbejderens lønkrav), ikke kunne danne grundlag for den konkrete behandling, da behandlingen ikke var nødvendig for at fastlægge kravene. Det skyldes, at tidsregistrering kunne ske på andre måder, der er mindre indgribende. Datatilsynet benyttede også lejligheden til at bemærke, at et specifikt samtykke fra medarbejderne til en sådan anvendelse af deres fingeraftryk heller ikke efter Datatilsynets opfattelse ville kunne anvendes som behandlingshjemmel, da det reelt ikke var en mulighed for medarbejderne at fravælge registreringen. En lignende beslutning og tilgang er blev taget af det svenske datatilsyn i afgørelsen af 20. august 2019 (j.nr. DI-2019-2221), som vedrører anvendelse af ansigtsgenkendelse af unge til registrering af mødedeltagelse på et gymnasium. Her var elevernes samtykke og deres mulighed for at fravælge forsøgsordningen ikke tilstrækkeligt, da eleverne og gymnasiet ikke var i et jævnbyrdigt forhold. Samlet set efterlader dette et snævert anvendelsesområde for brugen af biometriske data.

Ser man længere ud i Europa mod Holland, så har de hollandske domstole anlagt en mere indskrænkende forståelse i en dom afsagt ved retten i Amsterdam den 12. august 2019. Spørgsmålet var her, om det var muligt at anvende medarbejderes fingeraftryk som en teknisk og organisatorisk sikkerhedsforanstaltning til tildeling af adgang til kassesystemer i detailindustrien. Retten fandt, at sikkerhedshensynet ikke var tilstrækkeligt til at overholde nødvendighedsvurderingen, som retten understregede havde en høj grænse og skulle fortolkes indskrænkende. Dette selvom Holland har en bredere adgang efter deres nationale implementering af art. 9.2 (b) til at behandle biometriske data i de tilfælde, hvor samtykke ikke kan opnås.

I en anden sag om anvendelse af biometri, gav Datatilsynet tilladelse til, at Brøndbyernes I.F. Fodbold A/S kunne anvende ansigtsgenkendelse under adgangskontrollen ved afvikling af fodboldlandskampe, fodboldkampe, herunder træningskampe med deltagelse af hold fra superligaen, 1. og 2. division samt ved fodboldkampe i UEFA-regi på Brøndby Stadion. Tilladelsen blev givet med hjemmel i databeskyttelseslovens § 7, stk. 4, hvormed Datatilsynet tilkendegav at behandling af oplysningerne er nødvendig af hensyn til væsentlige samfundsinteresse. Dog under strikse krav til blandt andet sletning, skiltning og indskærpelse om at oplysningerne kun måtte anvendes til at identificere personer på karantænelisten. Desuden blev der stillet krav til sikkerhedsforanstaltningerne, herunder til kryptering og adgangskontrol til dataene.

Ved anvendelse af biometriske data som en sikkerhedsforanstaltning bør det også navnlig holdes for øje, at biometriske data indebærer en helt særlig risiko i forhold til almindelige sikkerhedsforanstaltninger for adgangskontrol såsom adgangskoder og tjekspørgsmål, nemlig at de ikke kan ændres i tilfælde af læk. Et læk af biometriske data som adgangskontrol er derfor næsten umuligt at mitigere, men må ved anvendelse sammenholdes med den fordel, der ligger i, at biometriske data ligeledes er næsten umulige at forfalske eller bruge af andre end den registrerede selv.

Persondataforordningen har med udformningen af undtagelserne i art. 9 gjort det vanskeligt at bruge biometriske data i ansættelsesforhold, og vi anbefaler, at man som virksomhed, inden man går ind i et eventyr af ansigtsgenkendelse, fingeraftryk og lignende, tager sine forholdsregler i form af en konsekvensanalyse vedr. databeskyttelse, som kan vurdere nødvendigheden af en løsning. 

Men hvordan vurderer man, om en løsning er 'need to have' eller 'nice to have'?

Persondataforordningen forbyder ikke enhver form for behandling af medarbejderes biometriske data, men den kræver afvejning af løsningens formål og nødvendighed op imod det indgreb, dette gør i de registreredes rettigheder. En virksomhed kan med fordel stille sig selv følgende spørgsmål, før den går ind i en dybere overvejelse vedr. anvendelse af biometriske data:

• Med hvilket formål skal behandlingen af biometriske data ske?

For at sikre, at der er den nødvendige hjemmel til at behandle de biometriske data, bør enhver virksomhed først forholde sig til formålet med behandlingen for at sikre, at det er lovligt og kan falde inden for undtagelserne i art. 9. For ansættelsesforhold kan det typisk være persondataforordningens art. 9.2(b) og databeskyttelseslovens § 7, stk. 2, om behandling, som er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser og specifikke rettigheder. Samtykke bør kun anvendes som behandlingsgrundlag som en sidste udvej.

• Er det muligt for en medarbejder at fravælge ordningen?

Hvis samtykke er det eneste mulige grundlag for behandling af biometriske data, så skal det sikres, at samtykket gives som en frivillig, utvetydig viljeserklæring. Det betyder i praksis, at en medarbejder skal have mulighed for at vælge behandlingen af de biometriske data fra, uden at dette sætter den registrerede i en dårligere position i forhold til ansættelsen.

• Er behandlingen af biometriske data nødvendig, eller findes der mindre indgribende måder at opnå samme formå på?

De nævnte afgørelser illustrerer, at hvis der findes andre mindre indgribende måder at opnå det samme formål på, så vil behandlingen af biometriske data ikke være nødvendig og dermed ikke lovlig.

Der kan være tilfælde, hvor identificering af de registrerede ved hjælp af biometriske data til adgangsstyring er afgørende for formålet. I disse tilfælde er det afgørende, at verificeringen af de biometriske data sker med en høj grad af korrekthed. Ved vurdering af verificeringens korrekthed skal der både tages stilling til verificeringens falske acceptrate (False Acceptance Rate 'FAR') og verificeringens falske afvisningsrate (False Rejection Rate 'FRR'), som indikerer, hvor ofte verificeringen giver adgang til forkerte individer, og hvor ofte verificeringen afviser det korrekte individ. Jo højere FAR og FRR er, jo bedre kan der argumenteres for, at netop biometriske data er nødvendige.

Samlet set må det derfor konkluderes, at de juridiske rammer for anvendelse af biometrisk data i er meget snævre, og at kravene til både den tekniske implementering og omfattende konsekvensanalyse er tilsvarende høje.