Udfordringer og muligheder ved behandling af biometriske oplysninger i form af fingeraftryk i et persondataretligt perspektiv

Challenges and possibilities in relation to processing biometric data consisting of fingerprints in a data protection perspective

Poulsen, Katrine Niebuhr ; Aaen, Trine

4. semester

Jura, Kandidat

2019

57

Specialet undersøger udfordringer og muligheder ved behandling af biometriske oplysninger i form af fingeraftryk i et persondataretligt perspektiv under databeskyttelsesforordningen (GDPR). Udgangspunktet er, at biometriske løsninger er blevet hverdagsteknologi drevet af bekvemmelighed, og at anvendelse til entydig identifikation nu omfattes af artikel 9. Problemformuleringen er, hvilke udfordringer og muligheder der opstår, når den dataansvarlige skal sikre et legitimt behandlingsgrundlag. Specialet anvender en retsdogmatisk metode til at analysere gældende ret med fokus på de grundlæggende principper i artikel 5, behandlingsgrundlag i artikel 6 og 9 samt krav til samtykke i artikel 7. Analysen inddrager afgørelser fra Datatilsynet og supplerende svensk retspraksis for at belyse proportionalitetsvurderinger og om formålet kan nås på mindre indgribende måder. Konklusionen peger på, at centrale parametre er afgørende for lovlighed og proportionalitet, herunder om lagring sker centralt eller decentralt, om der lagres skabeloner eller rå biometriske data, samt formålet med behandlingen. Disse forhold er centrale ved vurderinger efter artikel 5 og i den dataansvarliges accountability-forpligtelser. En aktuel betalingsløsning (Fingopay) illustrerer, at praksis er i udvikling, og at vægtningen af lagringsmodellen kan være under forandring.

This thesis examines the challenges and possibilities associated with processing biometric fingerprint data under the EU General Data Protection Regulation (GDPR). The backdrop is the spread of everyday biometric solutions driven by convenience and the fact that use for unique identification now falls under Article 9. The core research question is which challenges and opportunities arise when a controller must secure a legitimate legal basis. Using a legal-dogmatic method, the thesis analyzes current law with emphasis on the principles in Article 5, legal bases in Articles 6 and 9, and consent requirements in Article 7. The analysis incorporates decisions by the Danish Data Protection Agency and related Swedish case law to illuminate proportionality assessments and whether the purpose can be achieved by less intrusive means. The conclusion indicates that key parameters are decisive for compliance and proportionality, including whether storage is centralized or decentralized, whether templates or raw biometric data are stored, and the purpose of processing. These factors are central to assessments under Article 5 and to the controller’s accountability obligations. A recent payment solution (Fingopay) illustrates that practice is evolving and that the weight given to storage architecture may be changing.

[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]

Biometri ; Persondataret ; Databeskyttelse

Download
Vis denne rapport i AAU Studenterprojekter