Ny afgørelse om brug af ansigtsgenkendelse på medarbejdere

Datatilsynet har i en konkret sag truffet afgørelse om, at en virksomhed kunne anvende samtykke fra ansatte som behandlingshjemmel for brug af følsomme personoplysninger, men at den konkrete, påtænkte brug af systemet sandsynligvis ville være i strid med databeskyttelsesreglerne.

Hvad siger reglerne
Efter databeskyttelsesreglerne hører biometrisk data, fx et ansigtsbillede, til kategorien følsomme oplysninger, når behandlingen af oplysningen har til formål entydigt at identificere en fysisk person.

Efter databeskyttelsesforordningen er der som udgangspunkt et forbud mod at behandle denne type personoplysninger, medmindre der kan findes en undtagelse til forbuddet, fx samtykke. Den danske databeskyttelseslov indeholder desuden en bestemmelse om, at behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den ansattes samtykke.

Sagen kort
En fitness- og behandlingsvirksomhed påtænkte at anvende et ansigtsgenkendelsessystem. Formålet var blandt andet at føre kontrol med ansattes adgang til virksomhedens faciliteter. Samtykket var frivilligt, og det var muligt at benytte fysisk adgangskort og adgangskode, hvis en ansat ikke ønskede at give samtykke.

Systemet skulle fungere ved, at der blev sat et kamera op ved indgangen til virksomheden, som kunne scanne ansigterne på de ansatte. Resultatet skulle herefter automatisk holdes op mod billeder, som var uploadet i systemet. Når systemet blev aktiveret, ville systemet være ’online’ uafbrudt og således scanne alle medarbejdere, som befandt sig inden for kameraets sfære.

Datatilsynets afgørelse
I forhold til spørgsmålet om samtykke som behandlingshjemmel for de ansatte fandt Datatilsynet, at der ikke var anledning til at tilsidesætte virksomhedens vurdering af, at den ansattes udtrykkelige samtykke kunne anvendes som hjemmel til behandling af biometriske data.

Datatilsynet lagde herved vægt på, at samtykket blev afgivet frivilligt, og at der var andre muligheder for adgangskontrol end ansigtsgenkendelsen. Tilsynet lagde endvidere vægt på, at systemet alene ville registrere de ansattes adgang til virksomheden og ikke i øvrigt kortlægge deres færden eller blive anvendt til fx tidsregistrering.

I forhold til selve systemet, som virksomheden påtænkte at anvende, var det Datatilsynets vurdering, at der ville ske en behandling af biometriske – og dermed følsomme – data med henblik på entydig identifikation af ansatte, som ikke ønskede at gøre brug af systemet, og som derfor ikke havde givet samtykke. Dette ville ifølge Datatilsynet sandsynligvis være i strid med databeskyttelsesforordningen, og tilsynet opfordrede virksomheden til at sikre en ”aktivering” af systemet, fx ved tastetryk, så det kun scannede ansigter på personer, som havde givet samtykke.

Du kan læse Datatilsynets afgørelse her: Afgørelse om ansigtsgenkendelse.

Dansk Erhverv bemærker
Afgørelsen bekræfter, at samtykke kan være en lovlig hjemmel til at behandle følsomme personoplysninger om ansatte, når det opfylder betingelserne for at afgive samtykke efter databeskyttelsesreglerne, herunder frivillighed.  

Dansk Erhverv anbefaler medlemsvirksomhederne at rette henvendelse, hvis de påtænker at behandle eller anvende biometriske data fra ansatte.