Datatilsynet har truffet afgørelse i en sag om brugen af et system til ansigtsgenkendelse

Dato: 17-03-2022
Afgørelse Private virksomheder Advarsel Tilsyn / egendriftssag Biometri Følsomme oplysninger Behandlingsgrundlag

Datatilsynet har truffet afgørelse i en sag, som vedrørte behandling af oplysninger om biometriske data ved brug af et system til ansigtsgenkendelse. Formålet med behandlingen var bl.a. at føre kontrol med adgangen til virksomhedens faciliteter.

Journalnummer: 2021-431-0145

Resume

I en sag, som Datatilsynet startede op af egen drift, har tilsynet forholdt sig til FysioDanmark Hillerød ApS’ påtænkte anvendelse af et ansigtsgenkendelsessystem, som skulle anvendes bl.a. til at føre adgangskontrol med kunder og ansatte.

Datatilsynet vurderede på baggrund af sagens omstændigheder og de oplysninger, som virksomheden havde givet, at systemet – som baserede sig på den registreredes samtykke – ville kunne anvendes inden for rammerne af databeskyttelsesreglerne.

Datatilsynet fandt imidlertid anledning til at advare virksomheden om, at det sandsynligvis ville være i strid med reglerne i databeskyttelsesforordningen, hvis virksomheden anvendte systemet uden samtykke fra virksomhedens kunder.

Endvidere advarede Datatilsynet om, at det sandsynligvis ville være i strid med reglerne i databeskyttelsesforordningen, hvis virksomheden ikke sikrede sig, at systemet ikke blev brugt i forhold til personer, som ikke havde givet sit samtykke.

1. Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 7. juli 2021 af egen drift valgte at undersøge FysioDanmark Hillerød ApS’ (herefter FysioDanmark) behandling af personoplysninger ved brug af et system til ansigtsgenkendelse.

Datatilsynet har i afgørelsen alene forholdt sig til, hvorvidt databeskyttelsesforordningens artikel 6 og artikel 9 kan danne grundlag for behandling af personoplysninger, og tilsynet har dermed ikke taget stilling til eventuelle andre databeskyttelsesretlige spørgsmål.

Datatilsynet meddeler FysioDanmark en advarsel om, at det sandsynligvis vil være i strid med databeskyttelsesforordningen[1], hvis FysioDanmark:

  • til brug for statistik og forretningsoptimering behandler biometriske data med det formål entydigt at identificere en registreret, uden at der indhentes samtykke fra den pågældende i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra a.
  • anvender ansigtsgenkendelsessystemet på den planlagte måde, idet der herved vil ske behandling af biometriske data med det formål entydigt at identificere en fysisk person om de personer, som ikke har ønsket at samtykke til behandlingen, hvilket er forbudt, idet der ikke kan identificeres en undtagelse hertil i forordningens artikel 9, stk. 2.

 Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.

 Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Oplysninger afgivet af FysioDanmark til brug for sagen

2.1.

FysioDanmark har oplyst, at FysioDanmark den 24. september 2020 har indgået et samarbejde med virksomheden Justface ApS, som har leveret et system baseret på ansigtskendelse (”systemet”).

Systemet er endnu ikke taget i brug. 

Systemet fungerer på den måde, at der er sat et kamera op ved indgangen til fitnesscentret, som kan scanne ansigt på kunder og ansatte, hvorefter resultatet holdes op mod billeder allerede uploadet i systemet.

Når systemet først er taget i brug, er systemet ”online” uafbrudt.

FysioDanmark er dataansvarlig for den behandling af personoplysninger, som sker, og Justface ApS er databehandler.

Formålet med brugen af systemet – og den deraf afledte behandling af personoplysninger – er for det første at tilbyde kunderne og de ansatte at gøre brug af systemet som adgangskontrol frem for adgangskontrol med fysisk adgangskort og adgangskode.

Behandlingen af biometriske oplysninger (ansigtskendelse) i forbindelse med adgangskontrol baserer sig på kundens / den ansattes samtykke. Det er således frivilligt, om kunder og ansatte ønsker at benytte systemet som adgangskontrol.

Samtykke gives, når kunden / den ansatte skal oprettes i systemet – enten fysisk i centeret eller online. Der uploades i den forbindelse et billede af personens ansigt til systemet. Derudover samtykker den pågældende person via en elektronisk samtykkeformular til, at behandlingen må ske. Samtykkeerklæringen har følgende ordlyd:

Samtykkeerklæring

Jeg giver ved afkrydsning af samtykkeboksene nedenfor mit samtykke til, at FysioDanmark Hillerød, Milnersvej 39, 3400 Hillerød behandler følgende personoplysninger om mig til de nedenfor beskrevne formål. FysioDanmark Hillerød opfordrer til, at samtykkeerklæringen læses grundigt igennem, inden der afgives samtykke.

Jeg giver hermed samtykke til, at FysioDanmark Hillerød må behandle mine personoplysninger til følgende formål:

Hvilke kategorier af personoplysninger bliver behandlet?

Almindelige personoplysninger (vi anmoder kun om disse oplysninger, hvis de ikke allerede er udfyldt hos dit fitnesscenter)

  • Navn
  • Fødselsdato
  • Adresse
  • E-mail
  • Portræt billede

Fortrolige og følsomme personoplysninger

  • Biometriske oplysninger i form af ansigtsscan

Til hvilke formål behandles dine personoplysninger?

Dine personoplysninger behandles til det formål at føre kontrol med gyldigheden af dit medlemskab ved adgang til fitnesscentret. 

Hvordan indsamles dine personoplysninger?

Vi indsamler dine personoplysninger fra din brugerprofil hos fitnesscentret og fra dig selv på den måde, at du vil blive bedt om at opdaterer dine oplysninger via din brugerprofil i vores app eller hjemmeside. Dette er for at sikre, at fitnesscentret altid har de korrekte oplysninger på deres medlemmer.

Biometrisk scan sker ved indgangen til fitnesscentret. Scanningen benyttes til at sammenligne dit billede med det profilbillede, du har uploadet til din brugerprofil hos fitnesscentret, så vi kan validerer dit medlemskab hos fitnesscentret.

Hvordan behandles dine personoplysninger?

Behandling af personoplysninger sker med hjemmel i Europa-Parlamentets og rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (”GDPR”) og den danske databeskyttelseslov.

Dine personoplysninger vil blive videregivet til det fitnesscenter, du benytter, samt til fitnesscentrets (data)administrationsselskab – det kan være FlexyBox ApS, Sport Solution A/S eller Globus Data ApS. Disse er i hver enkelt tilfælde ansvarlige for behandlingen af dine data i deres egne systemer. Vi henviser derfor også til fitnesscentrets og administrationsselskabernes respektive persondatapolitikker for nærmere information om deres behandling af personoplysninger.

Dine personoplysninger behandles af Justface i henhold til formålene beskrevet ovenfor, og kun i det omfang, det er strengt nødvendigt.

Dine personoplysninger vil kun være tilgængelige for relevante, og særligt udpegede personer hos Justface, og vil kun blive videregivet til andre, hvis det er påkrævet i henhold til de beskrevne formål eller hvis det kræves ifølge lovgivningen.

Yderligere oplysninger om Justface privatlivspolitik kan ses på vores hjemmeside: www.justface.dk

[…]

Tilbagekaldelse af samtykket

Det er frivilligt at afgive samtykke og du er til enhver tid berettiget til at tilbagekalde dit samtykke. Hvis du ønsker at tilbagekalde dit samtykke, skal du blot rette henvendelse til Support@justface.dk som herefter vil kontakte fitnesscentret og administrationsselskabet for at registrere, at dit samtykke er tilbagekaldt.

Hvis du ikke ønsker at give samtykke, eller hvis du tilbagekalder dit samtykke, så er det ikke muligt at benytte biometrisk scan og vi beder dig derfor kontakte dit fitnesscenter for hører om alternative løsninger.

[…]”

Samtykket indhentes efter FysioDanmarks opfattelse i overensstemmelse med databeskyttelsesforordningens betingelser for et (gyldigt) samtykke, idet:

  • det er frivilligt for kunden / den ansatte, om den pågældende vil give samtykke eller ej, hvilket udtrykkeligt fremgår af samtykkeerklæringen,
  • det oplyses på samtykkeerklæringen, at et samtykke til enhver tid kan tilbagekaldes,
  • de registrerede modtager oplysninger om, hvad formålene med samtykket er, og de registrerede skal afkrydse separate samtykkebokse i forhold til de respektive formål, og
  • der i samtykketeksten er indsat et link til nærmere oplysninger om, hvordan FysioDanmark behandler oplysninger om henholdsvis kunder og ansatte.

Ønsker en kunde eller en ansat ikke at anvende systemet, kan der i stedet anvendes fysisk adgangskort og adgangskode. Såfremt dette er tilfældet, sker der ingen ansigtsgenkendelse af den pågældende, idet systemet skal bruge et lagret billede for at foretage ansigtsgenkendelsen.

I disse tilfælde kan systemets anvendelse derfor snarere sidestilles med almindelig tv-overvågning – dog med de forskelle, at billederne fra overvågningen ikke lagres i systemets hukommelse, og at billederne fra systemet ikke kan tilgås og/eller overvåges af fitnesscentrets personale (eller af Justface).

Den eventuelle behandling af personoplysninger, der foretages i forhold til personer, som ikke har givet samtykke, er ikke omfattet af databeskyttelsesforordningens artikel 9. En sådan behandling vil derfor kunne foretages med hjemmel i f.eks. databeskyttelsesforordningens artikel 6, stk. 1, litra f.

2.2.

Ud over adgangskontrol benyttes systemet til at indsamle og behandle oplysninger om FysioDanmarks kunder til statistik og forretningsoptimering, herunder optimering af personaleallokering i forhold til fitnesscentrets spidsbelastningsperioder.

Oplysninger om tidsrummet, som kunden befinder sig i fitnesscentret i, indsamles ved, at systemet registrerer, når der kommer en kunde ind ad døren i fitnesscentret, og hvornår kunden går ud ad døren til fitnesscentret. Oplysningerne indsamles derfor kun, hvis kunden har givet samtykke til brug af systemet.

Disse oplysninger, som alene indsamles til statistiske formål og til forretningsoptimering, er ikke omfattet af databeskyttelsesforordningens artikel 9.

De pågældende oplysninger kan indsamles og behandles med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Oplysningerne indsamles ikke om de ansatte.

3. Datatilsynets begrundelse

3.1. Relevante retsregler

Databeskyttelsesforordningen finder ifølge artikel 2, stk. 1, anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Af databeskyttelsesforordningens artikel 6, stk. 1, fremgår det, at behandling kun er lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

  1. Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
  2. Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
  3. Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
  4. Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
  5. Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
  6. Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Efter databeskyttelsesforordningens artikel 9, stk. 1, gælder der et forbud mod behandling af særlige kategorier af oplysninger, herunder behandling af biometriske data med det formål entydigt at identificere en fysisk person.

Ved biometriske data forstås ifølge databeskyttelsesforordningens artikel 4, nr. 14, personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.

Forbuddet i databeskyttelsesforordningens artikel 9 stk. 1, finder ifølge bestemmelsens stk. 2, ikke anvendelse, hvis et af følgende forhold gør sig gældende:

  1. Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
  2. Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.
  3. Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke.
  4. Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.
  5. Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
  6. Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol. g) Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.
  7. Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.
  8. Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes nationale ret, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.
  9. Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

Ved et samtykke som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, forstås ifølge artikel 4, nr. 11, enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Databeskyttelsesforordningens artikel 7 indeholder en række betingelser for samtykke. Det fremgår heraf:

  1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
  2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.
  3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.
  4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.

Det følger af databeskyttelseslovens § 12, stk. 3, at behandling af personoplysninger i ansættelsesforhold kan finde sted på baggrund af den registreredes samtykke i overensstemmelse med artikel 7 i databeskyttelsesforordningen

3.2. Behandling af personoplysninger om kunder, som ønsker at gøre brug af ansigtsgenkendelse

3.2.1. Behandling til brug for adgangskontrol

Når der behandles personoplysninger i form af billeder i forbindelse med ansigtsscanning, sker der en behandling af biometriske data, jf. databeskyttelsesforordningens artikel 4, nr. 14.

FysioDanmark har oplyst, at systemet fungerer på den måde, at der er sat et kamera op ved indgangen til Fitnesscentret, som kan scanne kundens ansigt, hvorefter resultatet holdes op mod billeder allerede uploadet i systemet.

Der sker således sammenligning af biometriske oplysninger om den pågældende kunde (indsamlet på tidspunktet for identifikation) med en række biometriske skabeloner, som er lagret i en database.

Der sker således en eller flere matchprocesser, og der er derfor tale om behandling af biometriske data med det formål entydigt at identificere en fysisk person.

Det er som udgangspunkt forbudt at behandle sådanne oplysninger, jf. databeskyttelsesforordningens artikel 9, stk. 1, med mindre en undtagelse til dette forbud kan identificeres i bestemmelsens stk. 2.

Datatilsynet er i den forbindelse enig med FysioDanmark i, at kundens udtrykkelige samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a, er den mest passende undtagelse til forbuddet, idet ingen af de øvrige undtagelser i databeskyttelsesforordningens artikel 9, stk. 2, ses at finde anvendelse.

Datatilsynet lægger til grund, at FysioDanmark ved anvendelsen af kundens udtrykkelige samtykke vil iagttage forpligtelserne efter forordningens artikel 7, og tilsynet finder som følge heraf ikke grundlag for at tilsidesætte FysioDanmarks vurdering af, at det samtykke, som den registrerede i den forbindelse afgiver, lever op til reglerne for samtykke i databeskyttelsesforordningen, herunder kravet om at samtykke skal være frivilligt i forordningens artikel 4, nr. 11.

Datatilsynet har herved lagt vægt på udformningen og indholdet af den fremlagte samtykkeerklæring, og at det er valgfrit for kunden om vedkommende ønsker at gøre brug af ansigtsgenkendelse som adgangskontrol, idet kunden – såfremt vedkommende ikke ønsker at gøre brug af ansigtsgenkendelse – i stedet kan anvende adgangskort og kode.

3.2.2. Behandling til brug for forretningsoptimering

Det er til sagen oplyst, at FysioDanmark – ud over behandling af biometriske data i forbindelse med adgangskontrol – via systemet indsamler oplysninger til brug for statistik, heriblandt oplysninger om det tidsrum, som kunderne befinder sig i fitnesscentret.

Datatilsynet er i den forbindelse enig med FysioDanmark i, at oplysningen om det tidsrum, som en kunde befinder sig i fitnesscentret, i sig selv er en oplysning, som alene er omfattet af databeskyttelsesforordningens artikel 6.

Det er imidlertid Datatilsynets opfattelse, at disse oplysninger har karakter af ”afledte” oplysninger, idet oplysningerne tilvejebringes ved anvendelse af ansigtsgenkendelse.

Oplysninger om tidsrummet indsamles således ved, at ansigtsgenkendelsessystemet registrerer, når en kunde går ind af døren i fitnesscentret, og hvornår kunden forlader fitnesscentret igen.

Der er derfor tale om behandling af biometriske data med det formål entydigt at identificere en fysisk person omfattet af forbuddet i databeskyttelsesforordningens artikel 9, stk. 1.

Som det er tilfældet i forhold til adgangskontrol, er det Datatilsynets vurdering, at den eneste mulige undtagelse til forbuddet i databeskyttelsesforordningens artikel 9, stk. 1, er den registreredes samtykke i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra a, idet ingen af de øvrige undtagelser i bestemmelsen ses at finde anvendelse.

Datatilsynet skal på den baggrund meddele FysioDanmark en advarsel om, at det sandsynligvis vil være i strid med databeskyttelsesforordningen, hvis FysioDanmark til brug for statistik og forretningsoptimering behandler biometriske data med det formål entydigt at identificere en registreret, uden at der indhentes samtykke fra den pågældende i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra a.

Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.

Hvis FysioDanmark agter at indrette sig på ovenstående, vil kundens samtykke skulle indhentes til behandling af biometriske data om vedkommende i forbindelse med at føre adgangskontrol med kunder og at føre statistik over hvor længe kunder opholder sig i fitnesscentret.

I den forbindelse kan Datatilsynet til orientering oplyse, at et samtykke ikke antages at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, og dermed tvinges til at samtykke til samtlige formål. Samtykket skal altså granuleres (deles op).

Hvis en behandling af oplysninger tjener flere formål, skal den dataansvarlige således indhente særskilt samtykke for hvert enkelt formål, som skal behandles på grundlag af den registreredes samtykke. Den dataansvarlige må derfor tilbyde den registrerede mulighed for at samtykke til et formål, men undlade at samtykke til andre formål.

Rent praktisk kan dette ske f.eks. i form af en samlet erklæring, hvor den registrerede kan markere, hvilke formål vedkommende vil acceptere, at der behandles oplysninger til.

3.3. Behandling af personoplysninger om ansatte, som ønsker at gøre brug af ansigtsgenkendelse

FysioDanmark har til sagen oplyst, at ansatte ligeledes tilbydes at benytte ansigtsgenkendelse som adgangskontrol, og at dette anvendes, såfremt den ansatte samtykker hertil.

Af de grunde, som er anført i afsnit 3.2.1, er der også i forhold til ansatte tale om en behandling af oplysninger om biometriske data med det formål entydigt at identificere en fysisk person, som det som udgangspunkt er forbudt at behandle, jf. databeskyttelsesforordningens artikel 9, stk. 1, med mindre en undtagelse til dette forbud kan identificeres i bestemmelsens stk. 2.

Datatilsynet er i den forbindelse enig med FysioDanmark i, at den ansattes udtrykkelige samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a, er den mest passende undtagelse til forbuddet, idet ingen af de øvrige undtagelser i databeskyttelsesforordningens artikel 9, stk. 2, ses at finde anvendelse.

Der er imidlertid kun tale om et samtykke i databeskyttelsesforordningens forstand, som kan danne grundlag for behandling af personoplysninger, hvis samtykket er frivilligt. Ved vurderingen af, om et samtykke er frivilligt, indgår bl.a., om der foreligger et ulige forhold mellem den dataansvarlige og den registrerede. Et samtykke anses normalt ikke for at være afgivet frivilligt, hvis der er en klar skævhed mellem den registrerede og den dataansvarlige.

I ansættelsesforhold forekommer typisk en ulighed mellem arbejdsgiveren og den ansatte.

Datatilsynet har i den forbindelse tidligere udtalt, at en ansats samtykke til, at en arbejdsgiver kan behandle oplysninger om vedkommendes fingeraftryk i forbindelse med tidskontrol, dvs. til brug for kontrol af ansattes komme/gå tider, som det klare udgangspunkt ikke kan anses for at være givet frivilligt, med mindre der foreligger særlige omstændigheder.

Det beror således på en konkret vurdering, om den ansatte frivilligt kan afgive et samtykke, som kan danne grundlag for behandling af oplysninger om den pågældende.

FysioDanmark har oplyst, at det – som det er tilfældet for kunder – også i forhold til ansatte er frivilligt, om vedkommende ønsker at gøre brug af ansigtskendelse i forbindelse med adgang til fitnesscenteret. Ønsker en ansat ikke at anvende systemet, kan den pågældende i stedet anvende fysisk adgangskort og adgangskode.

Datatilsynet lægger endvidere til grund på baggrund af sagens oplysninger, at systemet alene registrerer oplysninger om den ansatte i forbindelse med vedkommendes adgang til centeret. Der registreres således ikke oplysninger om den ansattes færden i centeret i øvrigt, herunder hvornår vedkommende forlader arbejdspladsen, hvorfor oplysningerne ikke ses at være velegnet til brug for tidsregistrering.

Under disse omstændigheder finder Datatilsynet ikke tilstrækkeligt grundlag for at tilsidesætte FysioDanmarks vurdering af, at den ansattes udtrykkelige samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a, jf. databeskyttelseslovens § 12, stk. 3, kan anvendes som undtagelse til forbuddet i artikel 9, stk. 1.  

3.4. Behandling af personoplysninger om personer, herunder kunder og ansatte, som ikke ønsker at gøre brug af ansigtskendelse

FysioDanmark har oplyst, at kameraet, som sættes op ved FysioDanmarks indgang, er ”online” uafbrudt.

Datatilsynet lægger på den baggrund til grund, at kameraet – og den deri lagrede ansigtsgenkendelsesteknologi – således også er aktivt og anvendes i forhold til personer, som ikke har samtykket til den pågældende behandling, når disse bevæger sig inden for kameraets synsvide. Systemet skal således ikke først ”aktiveres” – f.eks. ved anvendelse af tastetryk eller lignende.

FysioDanmark har i den forbindelse oplyst, at ønsker en person ikke at gøre brug af ansigtskendelse, sker der ingen ansigtsgenkendelse af den pågældende, idet systemet skal bruge et lagret billede for at foretage ansigtsgenkendelsen. I disse tilfælde kan systemets anvendelse derfor snarere sidestilles med almindelig tv-overvågning – dog med de forskelle, at billederne fra overvågningen ikke lagres i systemets hukommelse, og at billederne fra systemet ikke kan tilgås og/eller overvåges af fitnesscentrets personale (eller af Justface).

Den eventuelle behandling af personoplysninger, der foretages om personer, som ikke har samtykket til brug af ansigtskendelse, er derfor efter FysioDanmarks opfattelse ikke omfattet af databeskyttelsesforordningens artikel 9.

Det er imidlertid Datatilsynets vurdering, at der også vil ske en behandling af biometrisk data med henblik på entydig identifikation om personer, som ikke har samtykket til behandlingen.

Dette skyldes, at det efter ordlyden af artikel 9, stk. 1, er selve behandlingens formål – med henblik på entydig identifikation af de(n) registrerede ved brugen af biometrisk data – der afgør, hvorvidt behandlingen er omfattet af forordningens artikel 9. Det er således uden betydning, om der sker et match, dvs. om der rent faktisk sker en entydig identifikation.

Dette er også tilfældet, selvom behandlingen har en ganske flygtig (kortvarig) karakter.

Datatilsynet henviser i den forbindelse også til EDPB’s vejledning 3/2019[2], hvoraf følgende bl.a. fremgår:

”A controller manages access to his building using a facial recognition method. People can only use this way of access if they have given their explicitly informed consent (according to Article 9 (2) (a)) beforehand. However, in order to ensure that no one who has not previously given his or her consent is captured, the facial recognition method should be triggered by the data subject himself, for instance by pushing a button. To ensure the lawfulness of the processing, the controller must always offer an alternative way to access the building, without biometric processing, such as badges or keys.”

Idet ansigtsgenkendelsesteknologien anvendes uafbrudt, og da der dermed sker behandling af biometrisk data med det formål entydigt at identificere den pågældende om alle registrerede, som opfanges af kameraets synsvide, forudsætter anvendelsen af ansigtsgenkendelsesteknologien de(n) registreredes udtrykkelige samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a, idet ingen af de øvrige undtagelser finder anvendelse.

Dette er imidlertid ikke muligt, i det der i forhold til denne gruppe af registrerede er tale om personer, som ikke har ønsket at give samtykke.

Datatilsynet meddeler på den baggrund FysioDanmark en advarsel om, at det sandsynligvis vil være i strid med databeskyttelsesforordningen, hvis FysioDanmark anvender ansigtsgenkendelsessystemet på den planlagte måde, idet der herved vil ske behandling af biometriske data med det formål entydigt at identificere en fysisk person om de personer, som ikke har ønsket at samtykke til behandlingen, hvilket er forbudt, idet der ikke kan identificeres en undtagelse hertil i forordningens artikel 9, stk. 2.

Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.

Det er op til FysioDanmark at indrette sig på den meddelte advarsel, men Datatilsynet kan råde FysioDanmark til at overveje at indrette løsningen på en sådan måde, at der først sker ”aktivering” af systemet, når den kunde eller ansatte, som ønsker foretaget en ansigtsscanning, har aktiveret systemet – f.eks. ved tastetryk.

 

[1]   Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   EDPB’s guidelines 3/2019 on processing of personal data through video devices, version 2.0, 29. January 2020, afsnit 5.1., General considerations when processing biometric data.