Ansiktsigenkänning på tjänstetelefonen
Jag har en fråga kring vad som gäller när medarbetare använder telefoner i arbetet som har Touch ID eller ansiktsigenkänning.
Kommunen erbjuder sina medarbetare iPhones i tjänsten som har både Touch ID och ansiktsigenkänning för upplåsning. Det är frivilligt för varje medarbetare att använda sig av detta, och som alternativ finns vanlig pinkod.
Jag funderar på om arbetsgivaren kan anses ha något ansvar utifrån dataskyddsförordningen om medarbetare aktivt väljer att använda sig av Touch ID eller ansiktsigenkänning sin tjänstetelefon?
Juristens svar
Det går att titta på denna fråga utifrån både ett tekniskt och ett organisatoriskt perspektiv.
Inledningsvis kan jag dock, som frågeställaren är inne på, konstatera att både fingeravtrycks- och ansiktsigenkänning innebär att så kallad biometriska data behandlas. Det aktualiserar regleringen om känsliga personuppgifter i artikel 9.1 dataskyddsförordningen. Det krävs ett uttryckligt lagstöd för att en sådan behandling inte ska vara förbjuden. Dataskyddsförordningen är dock i regel inte tillämplig på privatpersoners personuppgiftshantering. Som enskild har man också enligt artikel 9.2 a) dataskyddsförordningen möjlighet att samtycka till att ens känsliga personuppgifter behandlas av någon annan, så länge samtycket lämnas frivilligt och informerat.
För att återgå till det tekniska perspektivet måste vi då fråga oss vad den tekniska lösningen som tillverkaren valt för exempelvis ansiktsigenkänning innebär i praktiken? När jag för några år sedan tittade på ett projekt där ansiktsigenkänningen i Apple Inc.:s (Apple) iOS var aktuell, skedde all datalagring och behandling som innefattade biometriska uppgifter i respektive användares telefon. Ingen biometrisk data fördes alltså över från telefonen varken till Apple själva, till arbetsgivaren eller till någon annan aktör. Det var i detta fall också valfritt för arbetstagaren/användaren av telefonen om denne ville installera funktionen. Därutöver erbjöd Apple också kodlås som ett alternativt sätt för att skydda och låsa upp telefonen.
Från det organisatoriska perspektivet var det i detta fall inte heller så att arbetsgivaren i sina instruktioner till de anställda krävde eller uppmanade till att använda just ansiktsigenkänningsfunktionen – även om det krävdes att tjänstetelefonen skulle ha en låsfunktion påkopplad för att skydda den data som behandlades i telefonen för arbetsgivarens räkning. Kodlåset dög dock gott från arbetsgivarens perspektiv.
I det läget uppfattade jag inte att det faktum att en arbetsgivare valt att upphandla Apple:s telefoner i sig innebar att biometriska data behandlades på den personuppgiftsansvarigas/arbetsgivarens uppdrag. Vissa anställda valde förvisso ändå på eget bevåg att använda ansiktsigenkänningsfunktionen, vilket innebar att deras biometriska data kom att behandlas på deras egen telefon. Detta låg dock enligt min bedömning utanför arbetsgivarens ansvar. Istället var det de anställdas eget val.
Det låter som sagt i mina öron som om frågeställarens situation är likartad. Jag skulle ändå rekommendera att frågeställaren kollar upp så att Apple inte har ändrat sina tekniska lösningar sedan dess, utan att de biometriska uppgifterna fortfarande hålls på de enskilda telefonerna. Det är också viktigt att arbetsgivarens egna instruktioner till de anställda inte kan tolkas så att arbetstagarna ändå uppmanas att använda ansiktsigenkänning eller Touch ID. Frivilligheten i valet av telefonlås ska framstå som reell.
Simon Jernelöv, rådgivare och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan frågesvaret skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i aktuell informationstjänst.
Publicerad 13 jun 2022
JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.