Ákvörðun um notkun Húsasmiðjunnar ehf. á fingrafaraskanna við inn- og útskráningu starfsmanna í launakerfi félagsins
Mál nr. 2020010343
Persónuvernd hefur tekið ákvörðun í tilefni tilkynningar Húsasmiðjunnar ehf. um notkun fingrafaraskanna við inn- og útskráningu starfsmanna í launakerfi félagsins. Í ljósi aðstöðumunar aðila, tilgangs vinnslunnar og þeirra fjölmörgu úrræða sem bjóðast rekstraraðilum til eftirlits með vinnuframlagi starfsmanna sem ekki byggja á vinnslu viðkvæmra persónuupplýsinga er komist að þeirri niðurstöðu að notkun Húsasmiðjunnar ehf. á fingrafaraskanna til auðkenningar með einkvæmum hætti samrýmist ekki lögum nr. 90/2018. Þá gaf Persónuvernd út fyrirmæli um að Húsasmiðjan ehf. skuli hætta notkun fingrafaraskannans og eyða lífkennaupplýsingum starfsmanna.
Ákvörðun
Hinn 27. ágúst 2020 samþykkti stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2020010343:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 25. júní 2019 barst Persónuvernd erindi frá lögmanni Húsasmiðjunnar ehf., Smára Hilmarssyni hdl. Í erindinu fólst annars vegar tilkynning Húsasmiðjunnar ehf. um að fyrirtækið hefði tekið í notkun fingrafaraskanna við inn- og útskráningu starfsmanna í launakerfi félagsins og hins vegar var þess óskað að Persónuvernd gæfi álit sitt á því hvort notkun umrædds fingrafaraskanna samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Með erindi Húsasmiðjunnar ehf. fylgdi í viðhengi tilkynning til starfsmanna félagsins um framangreint ásamt upplýsingum umboðsaðila um kerfið.
Í tilkynningu til starfsmanna Húsasmiðjunnar ehf. segir m.a. að tilgangur uppsetningar fingrafaraskannans sé inn- og útskráning starfsmanna í og úr vinnu, sem tryggja eigi betur hagsmuni starfsfólks. Ekki er nánar tilgreint hverjir þeir hagsmunir séu. Í tilkynningunni kemur einnig fram að við skönnun fingrafars einstaklings verði til dulkóðuð talnaruna í stimpilklukkunni sem varðveitist og tengist öðrum upplýsingum starfsmanns. Mynd fingrafarsins geymist ekki og ekki sé hægt að framkalla myndina aftur út frá talnarununni sem varðveitist í kerfinu. Talnarunan virki því á sambærilegan hátt og kennitala starfsmanns að því undanskildu að hún sé hvergi persónugreinanleg nema þegar kerfið greini hver starfsmaðurinn sé. Þá kemur fram að talnarunan sé aðeins geymd í klukkunum og ekki sé hægt að tengja hana við aðrar klukkur. Auk þess séu klukkurnar bundnar við IP-tölu á hverri starfsstöð og geti því ekki tengst annars staðar.
Í bréfi umboðsaðilans Suprema Inc. um kerfið, dags. 8. júlí 2009, kemur meðal annars fram að fingrafaraskanninn taki mynd af fingrafari notanda (hrálífkenni; e. raw image) og umbreyti því í samanburðarupplýsingar (talnarunur eða sniðmát; e. „template“) og geymi ekki fingrafaramyndina (hrálífkennið) í kerfinu. Við varðveislu sniðmátsins (talnarununnar) séu notaðar dulkóðunaraðferðir (256bit AES) sem geri það afar erfitt að nálgast upplýsingar til að snúa ferlinu við. Ógerlegt sé að endurskapa upprunalegu fingrafaramyndina (hrálífkennið) til að auðkenna einstakling með aðstoð fingrafarasérfræðings. Þá kemur fram að fyrirtækið bjóði upp á annan valkost fyrir þá sem hafi áhyggjur af persónuvernd. Valkostinn kalli umboðsaðili sniðmát á korti (e. „template-on-card“) og með því sé komist hjá því að halda gagnagrunn með persónu- eða lífkennaupplýsingum. Þannig sé sniðmáti, þ.e. talnarunum fingrafars, komið fyrir á korti sem starfsmaður beri á sér og noti til auðkenningar. Ekki kemur fram í erindi Húsasmiðjunnar ehf. að fyrrgreindur valkostur standi starfsmönnum hennar til boða.
Persónuvernd hafði samband símleiðis við lögmann Húsasmiðjunnar þann 9. júní 2020 til þess að afla upplýsinga um það hvort og þá hvenær fingrafaraskanninn hefði verið tekinn í notkun hjá félaginu. Svarað var með tölvupósti þann 10. s.m., þar sem staðfest var að fingrafaraskanninn hefði verið tekinn í notkun 19. júní 2019.
II.
Forsendur
og niðurstaða
1.
Gildissvið - ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679 (hér eftir reglugerðin), sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að vinnslu lífkennaupplýsinga, þ.e. upplýsinga um fingraför, í því skyni að persónugreina einstakling með einkvæmum hætti. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir gildissvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Húsasmiðjan ehf. vera ábyrgðaraðili að umræddri vinnslu.
Samkvæmt 3. mgr. 39. gr. laga nr. 90/2018 getur Persónuvernd fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um sig í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Erindi Húsasmiðjunnar ehf. barst Persónuvernd sem tilkynning en með vísan til efnistaka í máli þessu og fyrirmæla er um bindandi ákvörðun Persónuverndar að ræða.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Samkvæmt 1. tölul. 9. gr. laganna má vinna með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum í þágu eins eða fleiri tiltekinna markmiða. Jafnframt er heimilt samkvæmt 2. tölul. 9. gr. laganna að vinna með persónuupplýsingar sé vinnslan nauðsynleg til að efna samning sem hinn skráði er aðili að eða vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu greinar.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018. Samkvæmt 1. tölul. 1. mgr. þeirrar greinar er vinnsla viðkvæmra persónuupplýsinga heimil hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða. Jafnframt er heimilt skv. 2. tölul. sömu greinar að vinna með viðkvæmar persónuupplýsingar ef vinnslan er nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Þessar reglur gilda um vinnslu hvers kyns persónuupplýsinga, en ber þó að túlka með hliðsjón af eðli þeirra upplýsinga sem um ræðir hverju sinni, svo sem hvort þær teljist viðkvæmar.
Samkvæmt erindi Húsasmiðjunnar ehf. er með notkun fingrafaraskanna unnið með upplýsingar um fingraför, í því skyni að persónugreina einstaklinga með einkvæmum hætti. Samkvæmt upplýsingum umboðsaðila fer auðkenning fingrafaraskannans fram, hvort heldur þegar notað er sniðmát eða sniðmát á korti, á grundvelli upplýsinga um fingraför, þ.e. lífkennaupplýsinga, sem teljast viðkvæmar persónuupplýsingar, sbr. e-lið 3. tölul. 3. gr. laga nr. 90/2018.
Í 1. mgr. 11. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðarinnar er bann lagt við vinnslu persónuupplýsinga er varða m.a. lífkennaupplýsingar í því skyni að persónugreina einstakling með einkvæmum hætti, nema uppfyllt sé eitthvert af skilyrðum 9. gr. laganna og enn fremur eitthvert undanþáguákvæði 1.-11. tölul. 1. mgr. 11. gr. laganna samkvæmt nánari fyrirmælum 9. gr. reglugerðarinnar.
Til að leggja mat á hvort heimild sé til staðar samkvæmt lögum nr. 90/2018 er nauðsynlegt að líta fyrst til ákvæða 11. gr. laganna, en sé ekki heimild þar til staðar er ekki þörf á að líta frekar til 9. gr. sömu laga eða meginreglna laganna. Þeir töluliðir sem helst koma til greina í því máli sem hér um ræðir eru 1. og 2. tölul. 1. mgr. 11. gr. laganna.
Í 1. tölul. 11. gr. laganna segir, eins og að framan greinir, að vinnsla viðkvæmra persónuupplýsinga sé heimil hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða. Slíkt samþykki verður að vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um vinnslu persónuupplýsinga um hann, sbr. 8. tölul. 3. gr. laga nr. 90/2018. Þá kemur fram í athugasemdum með frumvarpi því er varð að lögum nr. 90/2018 að við öflun samþykkis, þegar metið er hvort samþykki sé gefið af fúsum og frjálsum vilja, skuli taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki er nauðsynleg vegna samningsins.
Í framkvæmd hefur almennt verið gerð sú krafa að samþykki sé frjálst og óþvingað. Í formálsorðum reglugerðar (ESB) 2016/679 kemur beinlínis fram að ekki eigi að telja að samþykki hafi verið veitt af fúsum og frjálsum vilja hafi hinn skráði ekki haft raunverulegt eða frjálst val eða ekki getað neitað eða dregið til baka samþykki án þess að verða fyrir tjóni (42. liður formálsorða). Þá segir að til að tryggja að samþykki sé veitt af fúsum og frjálsum vilja ætti það ekki að teljast fullnægjandi heimild í þeim tilvikum þar sem skýr aðstöðumunur er milli hins skráða og ábyrgðaraðilans (43. liður formálsorða) en slíkt er oft staðan í vinnuréttarsambandi.
Persónuvernd telur hér verða m.a. að líta til þess vinnuréttarsambands sem er á milli starfsmanna og vinnuveitenda, þess aðstöðumunar sem það samband felur í sér og þess að staðfesting á hvenær starfsmenn mæta til vinnu megi telja tengda starfsskyldum starfsmanna. Ekki er þess getið, í erindi Húsasmiðjunnar ehf., að starfsmenn eigi neina aðra valkosti um aðferðir við innskráningu á vinnustað sem ekki krefst notkunar lífkenna þeirra. Er því óljóst hverjar verði afleiðingar þess fyrir starfsmann ef hann neitar að láta í té þær lífkennaupplýsingar sem unnið er með í innskráningarkerfinu.. Þegar litið er til alls þessa telur Persónuvernd ekki unnt að fullyrða að við þær aðstæður sem hér eru uppi geti samþykki talist veitt „af fúsum og frjálsum vilja“, enda verður sem fyrr segir ekki séð að það sé valkvætt fyrir starfsmann að gangast undir umrædd skilyrði. Ekki er því hægt í því tilviki sem hér um ræðir að byggja vinnslu persónuupplýsinga vegna notkunar fingrafaraskanna sem byggir á upplýsingum um fingraför, þ.e. lífkennaupplýsingum, á samþykki.
Kemur þá til skoðunar hvort vinnsla viðkvæmra persónuupplýsinga geti, eins og hér er ástatt, farið fram á grundvelli 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Þar segir að vinna megi með viðkvæmar persónuupplýsingar sé vinnslan nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd.
Eins og að framan greinir er tilgangur Húsasmiðjunnar ehf. með notkun fingrafaraskannans inn- og útskráning starfsmanna í launakerfi félagsins. Líkt og að framan greinir er gerð sú grunnkrafa í 2. tölul. 1. mgr. 11. gr. laganna að vinnsla sé nauðsynleg til að ábyrgðaraðili geti staðið við skuldbindingar sínar, samanber einnig meðalhófskröfu 3. tölul. 1. mgr. 8. gr. laganna. Við mat á nauðsyn þess að nota viðkvæmar persónuupplýsingar eins og lífkenni til utanumhalds vinnutímaskráningar, ber að líta til þeirra úrræða sem í boði eru og ná sama markmiði með minni íhlutun í friðhelgi einkalífs starfsmanna. Ætla má að rekstraraðilum bjóðist fjölmörg úrræði til inn- og útskráningar starfsmanna í launakerfi sem ekki byggja á lífkennum eða öðrum viðkvæmum persónuupplýsingum. Má þar í dæmaskyni nefna stimpilklukkur, starfsmannakort, aðgangsflögur og aðgangskóða. Enn fremur má blanda framangreindum úrræðum við svokallað stikkprufueftirlit eða eftirlitsaðila við inngang vinnustaðar. Það er mat Persónuverndar að vinnsla viðkvæmra persónuupplýsinga sé ekki nauðsynleg til að ná markmiði Húsasmiðjunnar ehf., þ.e. að hafa eftirlit með vinnuframlagi starfsmanna sinna og að því megi ná með öðrum og vægari úrræðum sem ekki krefjast kerfisbundinnar vinnslu lífkennaupplýsinga starfsmanna.
Persónuvernd áréttar að notkun lífkennaupplýsinga til að persónugreina einstakling með einkvæmum hætti eru almennt settar mjög þröngar skorður. Kemur hún einkum til greina þar sem önnur vægari úrræði duga ekki og gæti átt við þegar vinnslan er ætluð til aðgangsstýringar tiltekinna svæða á vinnustað vegna sérstakra öryggissjónarmiða svo sem vegna meðferðar matvæla eða hættulegra efna.
Ekki verður séð að aðrar heimildir á grundvelli 1. mgr. 11. gr. laga nr. 90/2018 en fyrr greinir geti hér átt við. Verður samkvæmt öllu framangreindu að telja að Húsasmiðjunni ehf. sé ekki heimilt samkvæmt lögum nr. 90/2018 að vinna með lífkenni starfsmanna sinna í fingrafaraskanna til inn- og útskráningar þeirra í launakerfi félagsins. Þegar af þeirri ástæðu telur Persónuvernd ekki þörf á að fjalla um hvort slík vinnsla samrýmist almennum reglum 9. gr. eða meginreglum 1. mgr. 8. gr. laga nr. 90/2018.
Í 42. gr. laga nr. 90/2018, sbr. einnig 2. mgr. 58. gr. reglugerðarinnar er fjallað um fyrirmæli Persónuverndar um ráðstafanir til úrbóta. Í 6. tölul. 42. gr. laganna segir að Persónuvernd geti mælt fyrir um ráðstafanir til úrbóta þar á meðal takmarkað eða bannað vinnslu tímabundið eða til frambúðar, sbr. f-lið 2. mgr. 58. gr. reglugerðarinnar.
Með vísan til framangreinds er lagt fyrir Húsasmiðjuna ehf. að stöðva notkun fingrafaraskannans og eyða lífkennaupplýsingum starfsmanna. Skal Húsasmiðjan ehf. senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar fyrir 10. september næstkomandi.
Mál
þetta hefur dregist vegna anna hjá Persónuvernd.
Á k v ö r ð u n a r o r ð
Vinnsla Húsasmiðjunnar ehf. á lífkennaupplýsingum sem byggja á upplýsingum um fingraför starfsmanna til inn- og útskráningar þeirra í launakerfi félagsins samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Lagt er fyrir Húsasmiðjuna ehf. að stöðva notkun fingrafaraskannans og eyða lífkennaupplýsingum starfsmanna.
Skal Húsasmiðjan ehf. senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar fyrir 10. september næstkomandi.
Í
Persónuvernd, 27. ágúst 2020
Björg Thorarensen
formaður
Ólafur Garðarsson Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson