Biometriska uppgifter ur ett dataskyddsperspektiv

Behandling av biometriska uppgifter blir allt vanligare i samhället. Vi använder uppgifterna bland annat för att låsa upp vår telefon eller dator. Här går vi igenom begreppet ur ett dataskyddsperspektiv och reder ut vad en personuppgiftsansvarig bör beakta innan hon eller han börjar behandla biometriska uppgifter.

Vad är biometriska uppgifter?

Biometriska uppgifter definieras i dataskyddsförordningen (GDPR) som följande:

”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”.

Artikel 9 i förordningen reglerar särskilda kategorier av personuppgifter (det som tidigare kallades för känsliga personuppgifter). Enligt artikeln utgör biometriska uppgifter en särskild kategori av personuppgifter om de används för att entydigt identifiera en fysisk person. Enligt lagtexten krävs det därmed att de biometriska uppgifterna används i identifikationssyften för att de ska räknas som en särskild kategori av personuppgifter.

Grundläggande förutsättningar för personuppgiftsbehandling

Två grundläggande förutsättningar behöver uppfyllas för att man ska kunna behandla personuppgifter enligt GDPR. Till att börja med måste personuppgiftsbehandlingen följa de grundläggande principerna i artikel 5. Därefter krävs även att behandlingen har en tillämplig laglig grund enligt artikel 6. Om uppgifterna faller under begreppet särskilda kategorier av personuppgifter krävs dessutom att ett tillämpligt undantag finns från förbudet att behandla dessa kategorier av uppgifter i artikel 9.2.

De grundläggande principerna

De grundläggande principerna utgör grundfundamentet i förordningen och behöver följas vid all personuppgiftsbehandling, även webbpublicering. Den stora problematiken gällande den här typen av personuppgiftsbehandling uppstår främst gällande ändamålsbegränsningen och uppgiftsminimeringen.

Gällande principen om ändamålsbegränsning föreligger en problematik då behandling av biometriska uppgifter för identifiering inte alltid anses proportionerlig i relation till ändamålet med behandlingen. Föreligger ett mindre integritetskränkande alternativ kommer behandlingen av biometriska uppgifter inte att anses stå i proportion till syftet med behandlingen. Samma sak gäller även vid val av typ av biometriska data.

Gällande principen om uppgiftsminimering uppstår en problematik då biometriska uppgifter används för identifiering. Detta då behandlingen ofta anses oproportionerlig i förhållande till ändamålet med behandlingen. Vid behandling av biometriska uppgifter lagras ofta en betydligt större mängd personuppgifter än vad som är nödvändigt för ändamålet. Som personuppgiftsansvarig bör man därför fundera över möjligheten att minimera icke nödvändiga uppgifter ifall det är möjligt samt säkerställa att icke nödvändiga uppgifter snarast förstörs.

Laglig grund

Behandlingen av biometriska uppgifter måste som sagt även ha en laglig grund och ett tillämpligt undantag enligt dataskyddsförordningen.

I ett tillsynsbeslut från Datainspektionen ansåg myndigheten inte att en skola kunde använda sig av samtycke som laglig grund för behandling av biometriska uppgifter. Det konstaterades även att skolan visserligen hade laglig grund för att behandla personuppgifter i syfte att närvaroregistrera elever (allmänt intresse), men att det saknades laglig grund för att utföra närvaroregistreringen genom behandling av biometriska data. Av tillsynsbeslutet förtydligas därmed att enbart det faktum att det finns laglig grund (allmänt intresse) för en behandling inte per automatik innebär att behandlingen av biometriska uppgifter i syfte att uppnå ändamålet är tillåten.

Konsekvensbedömning och krav på säkerhet

Behandling av biometriska personuppgifter kommer i flertalet fall att behöva föregås av en konsekvensbedömning enligt dataskyddsförordningen. Datainspektionen har publicerat en förteckning över behandlingar som kräver en genomförd konsekvensbedömning innan de påbörjas (dnr 2018-13200). I den förteckningen uttalas exempelvis tydligt att en konsekvensbedömning ska genomföras vid användning av biometriska uppgifter i inpasseringssystem till en arbetsplats.

Säkerhetskraven för personuppgifter regleras dels i artikel 5.1 (e), principen om integritet och konfidentialitet, dels i artikel 32 om tekniska säkerhetskrav för personuppgiftsbehandling. Biometriska uppgifter kommer att kräva hög säkerhet i synnerhet då uppgifterna faller under särskilda kategorier av uppgifter enligt artikel 9.1 GDPR. Bestämmelsen om nödvändiga säkerhetskrav är generell och anger inga specifika åtgärder som behöver vidtas vid användning av biometriska uppgifter. Viss guidning finns dock i vägledningen från artikel 29-gruppen samt i tidigare beslut från Datainspektionen. Myndigheten har exempelvis uttalat att det ska finnas tydliga regler för behörighet och att det ska gå att logga behandlingshistorik om man som personuppgiftsansvarig förfogar över en databas med biometriska uppgifter.

Vill du ta del av Didrik Värmons analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 22 okt 2019