Journalnummer: 2019-31-1650
Resume
Datatilsynet har truffet afgørelse i en sag, hvor en fagforening på vegne af et af foreningens medlemmer har klaget over, at en virksomhed behandler oplysninger om fingeraftryk med henblik på entydig identifikation af, hvilken medarbejder der tilgår og forlader arbejdspladsen.
Virksomheden oplyste, at der var tale om en kontrolforanstaltning, som var varslet i henhold til DA/LO-aftalen om kontrolforanstaltninger.
Virksomheden begrundede kontrolforanstaltningen med, at det er afgørende for fødevaresikkerheden, herunder virksomhedens eksportmuligheder, at uvedkommende ikke får adgang til produktionen, og at det til enhver tid kan identificeres, hvem der har deltaget i produktionen af et givent produkt. Nøglebrikker, som medarbejderne scanner, giver ikke tilstrækkelig sikkerhed for, at det entydigt kan identificeres, hvem der har været til stede i produktionen, da der kan ske tyveri af nøglebrikker eller ombytning af nøglebrikker såvel fejlagtigt som bevidst.
Efter en samlet gennemgang fandt Datatilsynet, at der ikke var grundlag for at tilsidesætte virksomhedens vurdering. Behandlingen kunne derfor finde sted inden for rammerne af databeskyttelsesreglerne.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor [Fagforening A] på vegne af […] (klager) har rettet henvendelse til tilsynet om [Virksomhed B]’ behandling af personoplysninger.
[Virksomhed B] har i sagen været repræsenteret af Dansk Industri.
Datatilsynet har forstået henvendelsen som en klage over, at [Virksomhed B] behandler oplysninger om klager i form af oplysninger om hans fingeraftryk i forbindelse med en indført kontrolforanstaltning i henhold til DA/LO-aftalen om kontrolforanstaltninger.
1. Afgørelse
Datatilsynet finder – efter at spørgsmålet har været behandlet på et møde i Datarådet – at [Virksomhed B]’s behandling af oplysninger om klager sker inden for rammerne af databeskyttelseslovens[1] § 12, stk. 1, og databeskyttelsesforordningens[2] artikel 5.
Datarådet har besluttet undtagelsesvis at tilkendegive, at et af rådets medlemmer ikke mente, at Datatilsynet var kompetent til at behandle spørgsmålet, da forholdet er omfattet af DA/LO-aftalen om kontrolforanstaltninger, hvorfor medlemmet mente, at det fagretlige system er rette forum.
Datatilsynet finder endvidere, at [Virksomhed B]’s behandling af oplysninger om klager er i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at [Virksomhed B] behandler oplysninger om klager i form af oplysninger om hans fingeraftryk. Behandlingen sker som led i en kontrolforanstaltning, som [Virksomhed B] har indført i henhold til DA/LO-aftalen om kontrolforanstaltninger.
[Virksomhed B] anvender systemet Biostar V1.92, som genererer en template af den enkelte medarbejders fingeraftryk, og der behandles derfor ikke billeder af fingeraftrykket.
Det fremgår endvidere af sagen, at der løbende mellem klager, […], og [Virksomhed B] – samt parternes faglige organisationer – har været dialog om indførelsen af systemet, der registrerer fingeraftryk, herunder i forhold til spørgsmål om hjemmel og sikkerhed.
2.1. [Fagforening A]’s bemærkninger
[Fagforening A] har i klagen anført, at [foreningen] den 5. november 2018 modtog en henvendelse fra klager, […]. Henvendelsen drejede sig om, at [Virksomhed B] havde meddelt medarbejderne, herunder klager, at de skulle afgive deres fingeraftryk, da virksomheden ville indføre et system til registrering af komme/gåtider.
[Fagforening A] har endvidere anført, at medarbejderne ikke præcist ved, hvad systemet skal anvendes til ud over komme/gå registreringer. Medarbejderne har ikke fået nogen begrundelse for, hvorfor det skal indføres, eller hvorfor deres nuværende adgangssystem ikke længere kan anvendes. Medarbejderne er utrygge ved anvendelsen af denne form for registrering, idet de ikke har tillid til, at datasikkerheden på virksomheden lever op til gældende regler, da tidligere ansatte fortsat figurerer i systemet, og udefrakommende kan benytte virksomhedens computere.
[…], klager, har på medarbejdernes vegne henvendt sig til ledelsen for at gøre opmærksom på medarbejdernes utryghed og bekymring. Klager har desuden flere gange forsøgt at få at vide, med hvilken hjemmel behandlingen sker, hvordan oplysningerne bliver behandlet og opbevaret med hensyn til sikkerheden, og om virksomheden har haft kontakt til Datatilsynet.
Det eneste, klager har fået at vide, er, at [Virksomhed B] mener, at virksomheden overholder de gældende regler. Virksomheden har til klager sendt dokumentation fra leverandøren af systemet, der viser, at systemet overholder databeskyttelseslovgivningen. Virksomheden har dog stadig ikke beskrevet formålet med behandlingen af oplysninger om fingeraftryk eller henvist til en hjemmel for behandlingen.
Det er efter [Fagforening A]’s opfattelse i strid med databeskyttelsesforordningen at indføre denne form for registrering, uden at der foreligger hjemmel hertil. Endvidere er det [Fagforening A]’s opfattelse, at der ikke i DA/LO-aftalen om kontrolforanstaltninger findes hjemmel til behandling af biometriske oplysninger, som der er forbud mod at behandle i henhold til databeskyttelsesforordningen. Om sagen er rejst fagretligt eller ej har ifølge [Fagforening A] ingen betydning for Datatilsynets behandling af sagen.
[Fagforening A] mener desuden ikke, at kravet om nødvendighed er opfyldt, da formålet med behandlingen kan opnås med mindre indgribende midler. Det er ikke tydeliggjort, hvorfor [Virksomhed B] mener, at hensynet til fødevaresikkerheden gør det nødvendigt at anvende medarbejdernes fingeraftryk i stedet for anvendelse af personlig brik, kort eller adgangskode. Fødevaresikkerheden er vigtig for alle fødevarevirksomheder, men [fagforeningen] er ikke enig i, at anvendelsen af fingeraftryk er eneste mulighed for at kunne opretholde krav om fødevaresikkerhed. Øvrige slagterier i branchen – overenskomstdækket hos [Fagforening A] – anvender adgangskontrol og/eller tidsregistrering med personlig brik, kort eller kode.
[Fagforening A] har i øvrigt anført, at uanset hvilken standard en virksomhed er underlagt, er det virksomhedens ansvar, at de af virksomheden fastsatte procedurer for at implementere en standard overholder landets gældende lovgivning. [Virksomhed B]’s certificeringer begrunder derfor ikke nødvendigheden, da man sagtens kan overholde certificeringen ved anvendelse af andre og mindre indgribende midler.
[Fagforening A] har endeligt gjort opmærksom på, at der på nuværende tidspunkt ikke anvendes fingeraftryk til at give adgang til virksomheden, men til registrering af komme/gå tid og pausetid. For at få adgang til virksomheden anvendes en nøglebrik.
2.2. Dansk Industris bemærkninger
Dansk Industri har indledningsvis anført, at adgangskontrollen er varslet i henhold til DA/LO-aftalen om kontrolforanstaltninger. Da behandlingen af oplysningerne således baserer sig på en kollektiv aftale, bør berettigelsen heraf behandles i det fagretlige system, hvor Arbejdsretten i sidste ende må vurdere, om behandlingen er berettiget efter DA/LO-aftalen om kontrolforanstaltninger, jf. arbejdsretslovens § 9, stk. 1. Der er fra [Fagforening A]’s side ikke rejst en sag i det fagretlige system om berettigelsen af adgangskontrollen.
Idet adgangskontrollen er en kontrolforanstaltning hjemlet i DA/LO aftalen om kontrolforanstaltninger, er det Dansk Industris opfattelse, at anvendelsen af templates af fingeraftryk til adgangskontrol har hjemmel i databeskyttelseslovens § 7, stk. 2 og § 12, stk. 1.
Om den driftsmæssige begrundelse har Dansk Industri anført, at [virksomhed B] er et kreaturslagteri i […]. Slagtehuset har en slagtekapacitet på […] kreaturer om ugen og beskæftiger […] medarbejdere.
Som slagteri er virksomhedens produktion underlagt en række lovgivningsmæssige krav i henhold til fødevarelovgivningen i forhold til produktionen. Herudover er virksomheden tilsluttet certificeringsordninger, hvor slagteriet auditeres i forhold til, om slagteriet lever op til en række krav til kvalitet og sikkerhed i produktionen. Slagteriet er certificeret dels hos organisationen IFS, dels hos organisationen SAI Global.
Det er et generelt krav fra kunderne - typisk detailhandelskunder - at slagterier er tilknyttet sådanne certificeringsordninger for at sikre højest mulig fødevaresikkerhed.
For at sikre fødevaresikkerheden er et af elementerne i IFS-certificeringen, hvem der har adgang til produktionsområderne. Dette for at sikre, at uvedkommende ikke får adgang til produktionen og for at sikre, at det til enhver tid kan identificeres, hvem der har deltaget i produktionen af et givent produkt, såfremt der efterfølgende konstateres smitte eller andre irregulariteter/fremmedlegemer i et produkt.
Punkt 6.2.1 i IFS standarden, version 6.1, fastsætter således:
“Based on a hazard analysis and assessment of associated risks, identified areas critical to security shall be adequately protected to prevent unauthorized access. Access points shall be controlled”.
Indførelsen af den omhandlede adgangskontrol ved [Virksomhed B], hvor der anvendes fingeraftryk, har netop til formål at sikre fødevaresikkerheden tilstrækkeligt i henhold til IFS-standarden, herunder særligt at sikre overholdelse af ovenfor nævnte punkt 6.2.1 i IFS-standarden. Virksomheden har tidligere anvendt nøglebrikker, som medarbejderne scanner, men det er virksomhedens vurdering, at denne løsning ikke giver tilstrækkelig sikkerhed for, at det entydigt kan identificeres, hvem der har været til stede i produktionen, da der kan ske tyveri af nøglebrikker eller ombytning af nøglebrikker såvel fejlagtigt som bevidst.
Ved eksport til tredjelande er der ofte krav om særskilte fødevarecertifikater i medfør af eksportlandets lovgivning, der ligeledes forudsætter et højt niveau af fødevaresikkerhed. Der er stor fokus på at overholde disse krav, da fejl på dette område potentielt kan skade eksportmulighederne for hele branchen.
Som konsekvens heraf er certificering efter IFS-standarden eller tilsvarende standarder et generelt kundekrav i branchen, og anvendelsen af adgangskontrol via fingeraftryk er derfor udbredt i branchen og anvendes også af en række andre fødevarevirksomheder end [Virksomhed B].
Dansk Industri har endvidere anført, at det er [Virksomhed B]’s opfattelse, at behandlingen af oplysningerne er i overensstemmelse med de generelle principper i databeskyttelsesforordningens artikel 5, idet de generelle principper i vidt omfang reflekterer samme hensyn, som vurderingen efter aftalen om kontrolforanstaltninger baserer sig på.
I den forbindelse har Dansk Industri uddybende anført, at [Virksomhed B] har vurderet, at den fornødne sikkerhed for, at virksomheden kan leve op til de sikkerhedskrav, der følger af IFS-certificeringen og kundernes krav hertil, alene kan opnås ved anvendelse af fingeraftryk ved adgangskontrollen. Henset til at adgangskontrollen er begrundet i et hensyn til fødevaresikkerhed, er det virksomhedens vurdering, at dette hensyn vejer tungere end hensynet til den enkelte medarbejder.
Dansk Industri har herudover, herunder om sikkerheden, anført, at systemet ikke lagrer billeder af den enkeltes fingeraftryk, men en unik template baseret på fingeraftrykket. Denne template kan ikke konverteres tilbage til et billede af medarbejderens fingeraftryk og kan derfor allerede af denne grund ikke anvendes eller misbruges til andre formål. Scanneren er konstrueret således, at data i scanneren - såfremt scanneren skulle falde i de forkerte hænder - ikke vil kunne anvendes uden en kopi af den tilknyttede database.
Oplysningerne i systemet er lagret på en centralt placeret server. Serveren er placeret på koncernens hovedkontor i […] i et serverrum, som kun IT- afdelingens medarbejdere har adgang til via et separat kodesystem. Udefrakommende har ikke adgang til virksomhedens pc’er, idet medarbejdere - der har adgang til pc’er som led i deres arbejde - har unikke login.
Templaten, der knytter sig til den enkelte medarbejders fingeraftryk, slettes, når medarbejderen fratræder, og kan ikke efterfølgende genskabes. Dette er en fast procedure for at sikre, at en fratrådt medarbejder ikke kan få adgang til produktionen. Hvis en tidligere medarbejder genansættes, skal medarbejderen således oprettes på ny i systemet. Det er uklart, hvad klager mener med, at tidligere ansatte figurerer i systemet, da systemet er implementeret medio marts 2019.
Biostarsystemet giver mulighed for yderligere kryptering af templates og de øvrige oplysninger om medarbejderen, som forefindes i systemet. På baggrund af ovenstående funktioner, som virksomheden har vurderet som tiltrækkelige, er dette ikke aktuelt implementeret.
Dansk Industri har i forhold til spørgsmålet om varsling af kontrolforanstaltningen anført, at der
dels har været en række indledende drøftelser med klager […] og med [Fagforening A]. Varslingen er formelt sket ved et SU-møde den 30. januar 2019.
I tilknytning hertil blev der ligeledes afholdt to møder i virksomhedens kantine, hvor den daværende direktør svarede på medarbejdernes spørgsmål til systemet.
Herudover har [Fagforening A] allerede i e-mail af 22. november 2018 fået oplyst, at der er tale om adgangskontrol - det vil sige en kontrolforanstaltning - og at indførelsen heraf beror på de krav, der stilles i henhold til IFS-standarden.
I forbindelse med implementeringen af adgangskontrollen ved [Virksomhed B] har […] forestået den praktiske implementering og har i den forbindelse været til stede på virksomheden den 18. marts 2019, da medarbejderne fik registreret templaten fra deres fingeraftryk i systemet.
Ved denne lejlighed blev der talt med hver enkelt medarbejder og forklaret om systemet samt baggrunden herfor, ligesom medarbejderne har haft lejlighed til at stille spørgsmål.
Selvom [Virksomhed B] ikke kan genkende beskrivelsen i klagen og ikke er enig heri, vil virksomheden i konsekvens heraf gennemføre yderligere aktiviteter, hvor medarbejderne orienteres om systemet og formålet hermed, så der tages hånd om de medarbejdere, der måtte føle sig utrygge.
Dansk industri har i forhold til det af [Fagforening A] herom anførte oplyst, at det er korrekt, at der ved virksomhedens yderdør anvendes en nøglebrik til at låse døren op med. Fingeraftryk anvendes, når medarbejderne går ind i produktionsområderne, idet formålet som tidligere beskrevet er – af hensyn til fødevaresikkerheden - at kunne dokumentere, hvilke medarbejdere, der har deltaget i produktionen.
Der er ikke nogen kobling mellem registreringen af, hvem der har deltaget i produktionen og virksomhedens arbejdstidsregistrering eller lønsystem. Der er tale om to separate systemer, som ikke kan tale sammen, men [Virksomhed B] overvejer på sigt at anvende oplysningerne fra adgangskontrollen til præcis beregning af den enkelte medarbejders arbejdstid.
3. Begrundelse for Datatilsynets afgørelse
3.1.
Databeskyttelsesforordningen finder ifølge artikel 2, stk. 1, anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Det er Datatilsynets opfattelse, at der såvel i forbindelse med indsamling (indrollering[3]) af aftrykket af en finger, der skal danne grundlag for biometrisk genkendelse eller identifikation, som ved den efterfølgende brug (matchning) af aftrykket i forbindelse med den biometriske løsning, er tale om en behandling af personoplysninger omfattet af databeskyttelsesforordningen.
Begrebet biometriske data defineres ifølge forordningens artikel 4, nr. 14, som personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.
Behandlingen af oplysninger om fingeraftryk i form af templates vil på den baggrund udgøre en behandling af biometriske data.
Efter ordlyden af databeskyttelsesforordningens artikel 9, stk. 1, vil biometriske data, herunder oplysninger om fingeraftryk, kun skulle anses som en særlig kategori af oplysninger, når behandling sker med det formål entydigt at identificere en fysisk person.
Efter Datatilsynets opfattelse skal der derfor sondres mellem, om behandling sker med det formål entydigt at identificere en fysisk person, eller om behandling sker til andre formål - f.eks. verifikation (autentifikation).
Der vil være tale om behandling med det formål entydigt at identificere en fysisk person, som er omfattet af forbuddet i forordningens artikel 9, stk. 1, når der sker sammenligning af oplysninger om en persons fingeraftryk (indsamlet på tidspunktet for identifikation) med en række biometriske skabeloner, som er lagret i en database, således at der sker en eller flere matchprocesser[4].
På baggrund af det, der er oplyst til sagen, finder Datatilsynet at kunne lægge til grund, at den i sagen omhandlede løsning fungerer ved, at den ansattes fingeraftryk (template) matches op imod en database indeholdende de ansattes fingeraftryk, således at der kan ske entydig identifikation af, hvilken medarbejder der tilgår og forlader arbejdspladsen. Der er derfor tale om en behandling af særlige kategorier af oplysninger omfattet af forbuddet i forordningens artikel 9, stk. 1.
I henhold til databeskyttelsesforordningens artikel 88 kan medlemsstaterne ved lov eller i medfør af kollektive overenskomster fastsætte mere specifikke bestemmelser for at sikre beskyttelse af rettighederne og frihedsrettighederne i forbindelse med behandling af arbejdstageres personoplysninger i ansættelsesforhold.
Muligheden for at fastsætte nationale særregler efter databeskyttelsesforordningens artikel 88 er udnyttet i databeskyttelseslovens § 12, stk. 1, som angiver, at behandling af personoplysninger i forbindelse med ansættelsesforhold omfattet af forordningens artikel 6, stk. 1, og artikel 9, stk. 1, kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder som fastlagt i anden lovgivning eller kollektive overenskomster.
Af de specielle bemærkninger til bestemmelsen fremgår det, at behandling kan finde sted, hvis behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder, som fastlagt i anden lovgivning eller kollektive overenskomster, herunder DA/LO-aftalen om kontrolforanstaltninger.
En behandling af personoplysninger i ansættelsesforhold vil derfor kunne ske inden for rammerne af databeskyttelseslovens 12, stk. 1, bl.a. i tilfælde hvor behandlingen sker som led i en kontrolforanstaltning indført i henhold til DA/LO-aftalen om kontrolforanstaltninger.
Idet der i sagen er enighed om, at den indførte kontrolforanstaltning er omfattet af DA/LO-aftalen om kontrolforanstaltninger, er det Datatilsynets opfattelse, at behandlingen finder sted inden for rammerne af databeskyttelseslovens § 12, stk. 1.
3.2.
Den behandling af personoplysninger, som finder sted i ansættelsesforhold, må – som ved al behandling – ikke gå ud over rammerne for de grundlæggende principper for behandling af oplysninger, som fremgår af databeskyttelsesforordningens artikel 5, herunder bestemmelsens litra a-c, om ”rimelighed”, ”legitime formål” og ”dataminimering”.
Datatilsynet har lagt til grund, at behandlingen for nærværende alene sker med henblik på adgangskontrol, idet dette er oplyst af [Virksomhed B]. Datatilsynet bemærker i den forbindelse, at tilsynet behandler sager på skriftligt grundlag og på baggrund af det, som oplyses af sagens parter.
Behandling af biometriske oplysninger, herunder oplysninger om fingeraftryk, i forbindelse med adgangskontrol er ikke i sig selv stridende med databeskyttelsesforordningens grundlæggende principper for behandling af personoplysninger.
[Virksomhed B] har oplyst, at det er afgørende for fødevaresikkerheden, herunder virksomhedens eksportmuligheder, at uvedkommende ikke får adgang til produktionen, og at det til enhver tid kan identificeres, hvem der har deltaget i produktionen af et givent produkt, såfremt der efterfølgende konstateres smitte eller andre irregulariteter/fremmedlegemer i et produkt. Nøglebrikker, som medarbejderne scanner, giver ikke tilstrækkelig sikkerhed for, at det entydigt kan identificeres, hvem der har været til stede i produktionen, da der kan ske tyveri af nøglebrikker eller ombytning af nøglebrikker såvel fejlagtigt som bevidst.
Datatilsynet finder på det foreliggende grundlag, at formålet – fødevaresikkerhed – udgør et sagligt driftsmæssigt hensyn, ligesom tilsynet finder, at der ikke er grundlag for at tilsidesætte [Virksomhed B]’s vurdering af, at dette formål nødvendiggør behandlingen af oplysninger om klagers fingeraftryk for at eliminere den potentielle risiko, som tyveri af nøglebrikker eller ombytning af nøglebrikker kan indebære. Når der samtidig henses til, at [Virksomhed B] alene behandler en template af fingeraftrykket og ikke et egentligt billede af fingeraftrykket, er det på det foreliggende grundlag samlet set Datatilsynets opfattelse, at den omhandlede behandling af oplysninger om klager ikke sker i strid med databeskyttelsesforordningens artikel 5, stk. 1, litra a-c.
3.3.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Efter en gennemgang af sagen finder Datatilsynet, at [Virksomhed B]’s behandling af oplysninger om klager er i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på det oplyste om, at systemet ikke lagrer billeder af den enkeltes fingeraftryk, men en unik template baseret på fingeraftrykket, at scanneren er konstrueret således, at data i scanneren - såfremt scanneren skulle falde i de forkerte hænder - ikke vil kunne anvendes uden en kopi af den tilknyttede database, at databasen, der er central i systemet, er placeret på en server på koncernens hovedkontor i et serverrum, som kun IT-afdelingens medarbejdere har adgang til via et separat kodesystem, at udefrakommende ikke har adgang til virksomhedens pc’er, idet medarbejdere - der har adgang til pc’er som led i deres arbejde - har unikke login, og at oplysningerne i systemet alene kan tilgås af de få medarbejdere, der har et arbejdsmæssigt behov herfor, hvilket alene omfatter it-afdelingen og koncernens lønkontor.
3.4.
Datatilsynet har i øvrigt konstateret, at der i sagen er uenighed om, i hvilken udstrækning medarbejderne, herunder klager, har fået (tilstrækkelig) information om kontrolforanstaltningen.
Datatilsynet bemærker i den forbindelse, at databeskyttelsesforordningens og databeskyttelseslovens regler om oplysningspligt finder anvendelse. Det er således en forudsætning, at de ansatte får information om behandlingens formål og omfang og om anvendelsen af de indsamlede oplysninger, jf. artikel 13 i databeskyttelsesforordningen. Der henvises i den forbindelse til vejledningen om de registreredes rettigheder, der kan findes på Datatilsynets hjemmeside.
Datatilsynet har noteret sig, at [Virksomhed B] i lyset af nærværende klage vil gennemføre yderligere aktiviteter, hvor medarbejderne orienteres om systemet og formålet hermed, så der tages hånd om de medarbejdere, der måtte føle sig utrygge.
[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[3] Det vil sige, hvor der første gang sker indscanning af det objekt, der skal danne grundlag for udregningen af den matematisk beregnede værdi – f.eks. et billede af det fulde fingeraftryk. En matematisk beregnet værdi af et biometrisk aftryk betegnes en template.
[4] Dette er processen, hvor biometriske oplysninger/skabeloner (indsamlet under registrering) sammenlignes med de biometriske oplysninger/skabeloner, der bliver indsamlet fra en ny prøve, med henblik på identifikation, verifikation/autentifikation eller kategorisering.