Biometriska uppgifter ur ett dataskyddsperspektiv | JP Infonet

Biometriska uppgifter ur ett dataskyddsperspektiv

Behandling av biometriska uppgifter blir allt vanligare i samhället. Vi använder uppgifterna bland annat för att låsa upp vår telefon eller dator. Här går vi igenom begreppet ur ett dataskyddsperspektiv och reder ut vad en personuppgiftsansvarig bör beakta innan hon eller han börjar behandla biometriska uppgifter.

dataskydd_Biometriska_uppgifter_ur_ett_dataskyddsperspektiv_16x9.jpg

Vad är biometriska uppgifter?


Biometriska uppgifter definieras i dataskyddsförordningen (GDPR) som följande:

”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”.

Artikel 9 i förordningen reglerar särskilda kategorier av personuppgifter (det som tidigare kallades för känsliga personuppgifter). Enligt artikeln utgör biometriska uppgifter en särskild kategori av personuppgifter om de används för att entydigt identifiera en fysisk person. Enligt lagtexten krävs det därmed att de biometriska uppgifterna används i identifikationssyften för att de ska räknas som en särskild kategori av personuppgifter.

Grundläggande förutsättningar för personuppgiftsbehandling


Två grundläggande förutsättningar behöver uppfyllas för att man ska kunna behandla personuppgifter enligt GDPR. Till att börja med måste personuppgiftsbehandlingen följa de grundläggande principerna i artikel 5. Därefter krävs även att behandlingen har en tillämplig laglig grund enligt artikel 6. Om uppgifterna faller under begreppet särskilda kategorier av personuppgifter krävs dessutom att ett tillämpligt undantag finns från förbudet att behandla dessa kategorier av uppgifter i artikel 9.2.

De grundläggande principerna


De grundläggande principerna utgör grundfundamentet i förordningen och behöver följas vid all personuppgiftsbehandling, även webbpublicering. Den stora problematiken gällande den här typen av personuppgiftsbehandling uppstår främst gällande ändamålsbegränsningen och uppgiftsminimeringen.

Gällande principen om ändamålsbegränsning föreligger en problematik då behandling av biometriska uppgifter för identifiering inte alltid anses proportionerlig i relation till ändamålet med behandlingen. Föreligger ett mindre integritetskränkande alternativ kommer behandlingen av biometriska uppgifter inte att anses stå i proportion till syftet med behandlingen. Samma sak gäller även vid val av typ av biometriska data.

Gällande principen om uppgiftsminimering uppstår en problematik då biometriska uppgifter används för identifiering. Detta då behandlingen ofta anses oproportionerlig i förhållande till ändamålet med behandlingen. Vid behandling av biometriska uppgifter lagras ofta en betydligt större mängd personuppgifter än vad som är nödvändigt för ändamålet. Som personuppgiftsansvarig bör man därför fundera över möjligheten att minimera icke nödvändiga uppgifter ifall det är möjligt samt säkerställa att icke nödvändiga uppgifter snarast förstörs.

Laglig grund


Behandlingen av biometriska uppgifter måste som sagt även ha en laglig grund och ett tillämpligt undantag enligt dataskyddsförordningen.

I ett tillsynsbeslut från Datainspektionen ansåg myndigheten inte att en skola kunde använda sig av samtycke som laglig grund för behandling av biometriska uppgifter. Det konstaterades även att skolan visserligen hade laglig grund för att behandla personuppgifter i syfte att närvaroregistrera elever (allmänt intresse), men att det saknades laglig grund för att utföra närvaroregistreringen genom behandling av biometriska data. Av tillsynsbeslutet förtydligas därmed att enbart det faktum att det finns laglig grund (allmänt intresse) för en behandling inte per automatik innebär att behandlingen av biometriska uppgifter i syfte att uppnå ändamålet är tillåten.

Konsekvensbedömning och krav på säkerhet


Behandling av biometriska personuppgifter kommer i flertalet fall att behöva föregås av en konsekvensbedömning enligt dataskyddsförordningen. Datainspektionen har publicerat en förteckning över behandlingar som kräver en genomförd konsekvensbedömning innan de påbörjas (dnr 2018-13200). I den förteckningen uttalas exempelvis tydligt att en konsekvensbedömning ska genomföras vid användning av biometriska uppgifter i inpasseringssystem till en arbetsplats.

Säkerhetskraven för personuppgifter regleras dels i artikel 5.1 (e), principen om integritet och konfidentialitet, dels i artikel 32 om tekniska säkerhetskrav för personuppgiftsbehandling. Biometriska uppgifter kommer att kräva hög säkerhet i synnerhet då uppgifterna faller under särskilda kategorier av uppgifter enligt artikel 9.1 GDPR. Bestämmelsen om nödvändiga säkerhetskrav är generell och anger inga specifika åtgärder som behöver vidtas vid användning av biometriska uppgifter. Viss guidning finns dock i vägledningen från artikel 29-gruppen samt i tidigare beslut från Datainspektionen. Myndigheten har exempelvis uttalat att det ska finnas tydliga regler för behörighet och att det ska gå att logga behandlingshistorik om man som personuppgiftsansvarig förfogar över en databas med biometriska uppgifter.

Vill du ta del av Didrik Värmons analys i sin helhet?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 22 okt 2019

Mer om IT och dataskydd
Utbildningar
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet.

    Stockholm 1-dagskurs Kursledare: Laura Gashi
  • Kursen riktar sig till dig som arbetar som personuppgiftsombud, IT-chef eller jurist, m.fl. inom kommun.  Den behandlar kommunens ansvar för personuppgifter i allmänhet och vilken påverkan dataskyddsförordningens införande har på skyldigheterna.

    Stockholm 1-dagskurs Kursledare: Sören Öman
  • Utbildningen syftar till att ge deltagarna fördjupade kunskaper om innehållet i den nya dataskyddsförordningen utifrån ett skolperspektiv kompletterat med de ändringar som tillkommit/föreslagits från regeringens sida.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon, Simon Jernelöv

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området