Som følge af den generelle forordning om databeskyttelse (GDPR) har Datatilsynet udarbejdet en "vejledende udtalelse" om brugen af fingeraftryk til tidsregistrering. Essensen af udtalelsen er følgende: Tidsregistrering alene ved hjælp af fingeraftryk er ikke tilladt.
Tilbage i 2017 kontaktede TimePlan Software A/S Datatilsynet med en anmodning om at få afklaret lovligheden af at bruge fingeraftryk (og dermed biometri) til at registrere tilstedeværelses- og fraværsdata i TimePlan. En række TimePlan-kunder anvender scanning af medarbejdernes fingeraftryk som metode til registrering af arbejdstid.
I svaret fra Datatilsynet anføres det, at biometri er "følsomme personoplysninger" i henhold til artikel 9. Udgangspunktet er således et forbud mod at have disse data, medmindre lovkravet er stærkt nok, og anvendelsen er nødvendig.
Datatilsynet anfører, at ønsket om korrekt tidsregistrering ikke er tilstrækkeligt til at anvende biometri, da der kan være andre mindre indgribende metoder til tidsregistrering. Risikoen for snyd ved indtastning anses ikke for at være et tilstrækkeligt stærkt lovkrav - hverken for en virksomhed eller medarbejderen.
Fingeraftryk kan eventuelt anvendes til tidsregistrering, hvis der findes andre registreringsmuligheder, f.eks. adgangskort eller indtastning af kortnummer - og medarbejderen har frit valg. Valget skal være klart frivilligt - og ved brug af biometri skal der være et klart frivilligt samtykke fra den ansatte.
Den danske databeskyttelsesmyndighed udtaler: "Det er Datatilsynets opfattelse, at en medarbejders samtykke til, at en arbejdsgiver kan behandle oplysninger om hans eller hendes fingeraftryk i forbindelse med tidskontrol, ikke kan anses for frivilligt. Hvis et samtykke ikke kan anses for frivilligt, kan det ikke udgøre et gyldigt behandlingsgrundlag. Datatilsynet kan dog ikke afvise, at der kan være særlige omstændigheder, hvor et samtykke kan anses for frivilligt."
Bruger du fingeraftryk til tidsregistrering i din virksomhed? Så skal du læse Datatilsynets udtalelse for at sikre dig den rigtige fremgangsmåde og træffe de nødvendige foranstaltninger. Vi anbefaler også, at du kontakter databeskyttelsesmyndigheden i dit land.