Journalnummer: 2023-31-0028.
Resumé
Datatilsynet modtog en klage fra en borger over, at fitnesscentret Sporting Health Club (SHC) havde indført ansigtsgenkendelse i forbindelse med SHC’s fitnesscentre. Borgeren påpegede bl.a., at der ikke var tilstrækkelige og tilsvarende alternativer til ansigtsgenkendelse.
Det fremgik af sagen, at brugere af fitnesscentret, som ikke ønsker at samtykke til ansigtsgenkendelse, kan blive lukket ind af receptionen i den bemandede åbningstid. Udenfor bemandet åbningstid kan brugerne kontakte døgnsupporten, der enten kan fjernåbne døren eller generere en kode til døren.
Datatilsynet har i en tidligere sag om FysioDanmark Hillerød vurderet, at brugen af ansigtsgenkendelse som adgangsmulighed til fitnesscentre ikke i sig selv strider mod de grundlæggende principper i databeskyttelsesforordningens artikel 5, herunder kravene til proportionalitet.
Nærværende sag rejste derfor primært spørgsmål om kravene til et samtykke, herunder om de mulige alternativer i den konkrete sag kunne anses for at udgøre et reelt alternativ.
Datatilsynet fandt – efter at sagen har været behandlet på et møde i Datarådet – at SHC kan indhente et gyldigt samtykke, der kan udgøre en undtagelse til forbuddet mod behandling af særlige kategorier af oplysninger, såfremt SHC sikrer sig, at samtykket er informeret og korrekt indhentet.
Datatilsynet udtaler kritik
Datatilsynet fandt imidlertid grundlag for at udtale kritik af det samtykke, som fitnesscentret konkret havde forsøgt at indhente fra klager, da klager var blevet oplyst om, at der ikke var alternativer til ansigtsgenkendelse.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor klager den 19. februar 2023 har klaget til tilsynet over Sporting Health Club Scandinavia ApS’ (SHC) anvendelse af ansigtsgenkendelse, herunder SHC’s indsamling af samtykke til behandling personoplysninger.
Datatilsynet bemærker for god ordens skyld, at tilsynet med denne afgørelse alene har forholdt sig til de spørgsmål, som omtales i afgørelsen.
1. Afgørelse
Datatilsynet finder – efter at sagen har været behandlet på et møde i Datarådet – at SHC, hvis SHC sikrer sig, at det samtykke, som SHC indhenter, er informeret, indhenter et gyldigt samtykke, som i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra a, kan udgøre undtagelse til forbuddet mod behandling af særlige kategorier af oplysninger.
Datatilsynet finder imidlertid, at der er grundlag for at udtale kritik af, at det samtykke, som SHC konkret forsøgte at indhente fra klager, ikke var frivilligt og dermed ikke gyldigt.
2. Sagens omstændigheder
2.1.
Datatilsynet modtog den 19. februar 2023 en klage over, at fitnesscentret SHC har indført ansigtsgenkendelse som adgangskontrol til selskabet fitnesscentre.
I klagen af 19. februar 2023 anføres, at:
”Jeg vil hermed indgive en klage over brug af ansigtsgenkendelse og uretmæssige håndtering af samtykke i træningscenteret Sporting Health Club.
Sporting Health Club Scandinavia har åbnet 24/7. Hidtil har der været adgang med en nøgle-chip, men den mulighed eksisterer ikke længere, og ansigtsgenkendelse er dermed eneste adgangsnøgle i centerets ubemandede timer. Konsekvensen af ikke at afgive samtykke til ansigtsgenkendelse er, at mulighed for at benytte centeret er indskrænket.
Da der ikke er alternativer til ansigtsscanning som adgangsnøgle, stiller jeg mig kritisk overfor om omstændighederne til samtykke opfylder betingelserne for et frit samtykke, om der er gyldig lovhjemmel til at administrere et samtykke på denne måde, og om brugen af biometrisk data dermed er lovlig.
[…]
Centeret er åbent 24/7 for medlemmer. Der er bemandet åbningstid i hverdagene og lørdage, men uden for den bemandede åbningstid (sen aften, søndage og helligdage) kan man komme ind med en nøgle.[…]
Indtil sommeren 2022 var nøglen en chip. I sommeren 2022 begyndte centeret at indføre ansigtsgenkendelse, som fra sommeren 2022 og indtil nu har fungeret sideløbende med nøglechip.
SCH meddelte i starten af februar 2023, at det ikke længere vil være muligt at bruge chippen, og at man fremover kun kan komme ind ved brug af ansigtsgenkendelse. Hvis man ikke giver samtykke til brug af ansigtsgenkendelse, bliver brugen af medlemskabet begrænset til de bemandede åbningstider.
[…]
Jeg ønsker at gøre brug af centeret uden indskrænkninger. Et samtykke kan kun opfattes som et reelt samtykke, hvis det er afgivet uden pression og uden negative konsekvenser af at sige nej til at afgive samtykke. Jeg er medlem i netop dette center, fordi de har adgang 24/7.”
I klagen af 19. februar 2023 anføres endvidere om sagsforløbet:
”I juli 2022 fik jeg mundtligt at vide af centerets daglige leder, at chip-nøglen ville blive afløst af ansigtsgenkendelse, og at jeg skulle registreres i systemet til det, hvilket jeg afslog. Jeg fik at vide, at chip-nøglen ville virke noget tid endnu, og de ville undersøge, hvilke andre adgangsmuligheder der ville være derefter, når man ikke ville give samtykke til ansigtsgenkendelse. Senere samme uge skrev jeg for at minde om spørgsmålet. Jeg fik ikke noget svar og formodede derfor, at SHC havde genovervejet situationen og besluttet at have de to systemer sideløbende. Chiplæseren fortsatte med at være i brug, og jeg hørte ikke mere til sagen.
- februar 2023 [skrev] centeret en e-mail til medlemmerne om, at chip-funktionen ikke ville være i brug efter 1. marts 2023. Jeg bad om svar på, hvordan de ville forholde sig til medlemmer, som ikke ville give samtykke til ansigtsgenkendelse og mindede om, at jeg havde gjort tydelig indsigelse før.
- februar 2023 om aftenen besøgte jeg centeret og opdagede, at chip-læseren var taget ned, og at min adgang til centeret dermed var blevet indskrænket. SHC’s varsel var dermed ikke overholdt, i øvrigt et kortere varsel end de 75 dage som fremgår af medlemsbetingelserne.”
Som bilag til klagen af 19. februar 2023 har klager vedlagt en e-mailkorrespondance med SHC. I korrespondancen oplyser en medarbejder ved SHC, at: ”Hvis medlem ikke ønsker at give samtykke til ansigtsgenkendelse er det kun muligt at træne i vores centre i bemandet åbningstid. Hvis man træner på Scandinavia eks. må man bruge ringeklokken hvor receptionisten så vil åbne for dig”.
2.2.
Datatilsynet anmodede den 11. maj 2023 SHC om en udtalelse til brug for sagens behandling, herunder også i forhold til spørgsmålet om samtykke, hvilket advokatfirmaet Elmann på vegne af SHC sendte den 8. juni 2023. Af udtalelsen fremgår:
”AD. 1. SHC BEDES FORHOLDE SIG TIL DET, SOM KLAGER HAR ANFØRT I SIN KLAGE.
Klager har ved brev af 19. februar 2023 (”Klage”) klaget over SHC’ behandling af hendes personoplysninger.
Der er flere faktuelle forhold i Klagen, som ikke er korrekte.
Klager er som bekendt medlem af SHC.
Indtil den 1. marts 2023 anvendte SHC en nøglebrik som adgangskontrol til centret sammen med et adgangssystem med ansigtsgenkendelse/scanning leveret af Justface ApS.
Siden 1. marts 2023 har ansigtsgenkendelses/scannings systemet ageret som adgangskontrol til centret, sammen med mulighed for enten personlig indtjekning i receptionen, personlig indtjekning via døgntelefon support, eller gennem at anvende en kode.
Det kan således afvises, at ansigtsgenkendelse/scanning er eneste adgangsmulighed til centret. Dette gælder både i og uden for receptionens åbningstider.
SHC har siden indgåelse af samarbejde med Justface stillet alternative adgangsformer til rådighed for medlemmer, der ikke ønsker at benytte sig af ansigtsgenkendelse/scanning som adgangskontrol.
SHC informerer ligeledes sine medlemmer om brugen af personoplysninger i forbindelse med ansigtsgenkendelse/scanning via deres persondatapolitik. SHC’s persondatapolitik er tilgængelig på SHC’s hjemmeside […].
Kode:
Ønsker et medlem ikke at bruge ansigtsgenkendelse/scanning, er det muligt at åbne døren vha. en kode.
Det enkelte medlem kan genere en kode ved at ringe til support. Denne kode skal generes på ny ved hvert besøg og kan således ikke genbruges af hensyn til risiko for svindel. Der er mulighed for at få udstedt en kode til centret alle døgnets timer (24/7).
Døråbning via support:
Medlemmer kan i alle døgnets timer (24/7) ringe til support, som kan åbne døren, hvis medlemmet findes i medlemsdatasen. Nummeret til support fremgår tydeligt ved adgangsvejen til centret.
Indtjekning via reception:
I receptionens åbningstid kan man tjekke ind i receptionen via personlig betjening.
Billede [1]: Skærmbillede af adgangsløsning i SHC Scandinavia, hvor kode-alternativ ses tydeligt under knappen til ansigtsscan:
[…]
Billede [2]: Adgangsløsning installeret til højre for indgangsslusen i SHC Scandinavia med klar og tydelig henvisning til support:
[…]
Justface ansigtsscan
SHC anvender et system licenseret fra Justface ApS til ansigtsgenkendelse/scanning.
Samtykke
Justface-systemet er samtykke-baseret. Det fungerer på den måde, at SHC’s medlemmer har mulighed for at vælge at benytte ansigtsscan, hvis der er givet samtykke. Der er sat en tablet op ved indgangen til fitnesscentret.
Hvis et medlem i forbindelse med oprettelse har givet sit samtykke hertil, uploader medlemmet et billede i systemet med henblik på, at systemet kan genkende personen, når denne senere vælger at lade sig scanne af kameraet i tabletten ved indgangen til fitnesscentret.
Medlemmer, der ikke har givet samtykke til at anvende Justface-systemet og/eller personer, der tilbagekalder sit samtykke, kan benytte en anden form for adgangskontrol, f.eks. manuel personligt indtjekning, indtjekning i reception eller brug af adgangskode, jf. ovenstående.
Aktivering
Systemet til ansigtsgenkendelse/scanning består nærmere af, at der er placeret en tablet ved indgangsdøren til fitnesscentret, som står i ”passiv-mode” og skal aktiveres ved et tryk på skærmen.
Kameraet er indstillet på en sådan måde, at det ved aktivering kun kan optage den person, der har foretaget aktiveringen. Der sker således ingen ansigtsscanning af medlemmer eller andre personer, der går hen til indgangen af fitnesscentret, før medlemmet selv foretager en aktiv handling for at aktivere ansigtsscanning.
Hvis personen ikke ønsker at blive ansigtsscannet, kan personen benytte en alternativ adgangsmetode, f.eks. adgangskode, tjek ind i receptionen eller manuel indtjekning via døgntelefon. Dette kan bl.a. ses på tabletskærm og mærkater.
Medlemmer, som ikke ønsker at blive scannet, har reelt mulighed for at undgå ansigtsscanning ved at bruge telefonsupport til indtjekning eller receptionen.
Systemet til ansigtsgenkendelse/scanning er indrettet således, at systemet skal aktiveres, for at der foretages en scanning, f.eks. ved tastetryk.
[…]
Formålet med brugen af systemet – og den deraf afledte behandling af personoplysninger – er for det første at tilbyde medlemmerne at gøre brug af systemet som adgangskontrol for øget sikkerhed, så kun medlemmer har adgang til centeret, samt for at tilbyde medlemmerne en bedre brugeroplevelse. Behandlingen af biometriske oplysninger (ansigtskendelse) i forbindelse med adgangskontrol baserer sig på medlemmets samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a. Samtykke gives, når medlemmet skal oprettes i systemet – enten fysisk i centeret eller online.
Der uploades i den forbindelse et billede af personens ansigt til systemet. Derudover samtykker den pågældende person via en elektronisk samtykkeformular til, at behandlingen må ske.
Ud over adgangskontrol benyttes systemet til at indsamle tjek-ind tidspunkt på kunder til statistik fx af personaleallokering i forhold til fitnesscentrets spidsbelastningsperioder (som det også kendes fra øvrige typer af adgangssystemer med fx chip eller nøglekort). Oplysninger vedrørende antal, typen af og tidspunkt for indtjekning indsamles alene til statistiske formål og til forretningsoptimering, i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f.
[…]
SHC behandler ikke medlemmers personoplysninger, herunder biometriske data, medmindre den registrerede specifikt og udtrykkeligt har givet sit samtykke til behandling heraf, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a og artikel 9, stk. 2, litra a.
I henhold til databeskyttelsesforordningens artikel 4, nr. 11 samt artikel 7, bemærkes følgende vedr. den anvendte samtykkeerklæring (billede af samtykkeerklæring findes nedenfor):
- Samtykkeerklæringen præsenteres på on-boarding-siden, hvor medlemmet skal logge ind (billede af on-boarding siden findes nedenfor). Samtykkeerklæringen er udformet i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, således at medlemmet kan skelne samtykket fra andre forhold og forstår, hvordan og til hvilke formål de indsamlede personoplysninger behandles.
- Det følger af samtykkeerklæringen, at samtykke afgives frivilligt. Medlemmet har således mulighed for at vælge at give sit samtykke eller lade være. Der er hermed ingen negative konsekvenser forbundet med ikke at give samtykke, idet medlemmet i stedet kan vælge én af de andre indtjeningsmuligheder, herunder manuelt via reception/døgnsupport eller ved brug af en adgangskode.
- Medlemmet informeres fyldestgørende i samtykkeerklæringen om de specifikke formål med samtykket og skal afkrydse separate samtykkebokse for hvert formål. Afgivelse af samtykket sker således ved en aktiv handling og afspejler en udtrykkelig viljestilkendegivelse fra medlemmet.
- Det følger af samtykkeerklæringen, at den registrerede har ret til at tilbagekalde sit samtykke til enhver tid. Tilbagekaldelse af samtykket kræver henvendelse til den angivne Justface’ support-mail, hvilket sikrer, at tilbagekaldelse af samtykket er lige så let for medlemmet som at give sit samtykke.
- Samtykkeerklæringen opbevares ligeledes af SHC i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e, artikel 5, stk. 2 samt artikel 7, således at SHC kan påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
På baggrund af ovenstående vurderer SHC, at indhentelse af samtykke fra SHC’s medlemmer opfylder gyldighedskravene i databeskyttelsesforordningens artikel 4, nr. 11, artikel 6, artikel 7 og artikel 9.”
2.3.
Den 12. juli 2023 fremkom klager med sine bemærkninger til SHC’s udtalelse. Det fremgår heraf:
”SHC skriver, at der er og hele tiden har været mulighed for at fravælge samtykke til ansigtsgenkendelse uden indvirkning på adgang til centeret. Jeg mangler at se dokumentation for, at SHC har kommunikeret dette til samtlige medlemmer rettidigt. SHC’s persondatapolitik i link i brev af 8. juni er fra maj 2023.
Som det fremgik af min klage af 19. februar, så var der ingen information i e-mails og samtykkeerklæring om andre muligheder end ansigtsgenkendelse. Jeg fik både mundtligt og skriftligt at vide, at der kun ville være adgang i receptionens åbningstid […].
Fra februar og indtil nu er jeg kommet i centeret 3-4 gange om ugen. Hver gang har jeg ringet på og er blevet lukket ind af personalet. Jeg har primært mødt de samme 3-4 personer, inklusiv den daglige leder af centeret. Ingen af dem har informeret mig om, at jeg havde andre muligheder, heller ikke de gange jeg har været nødt til at ringe op på telefonen for at komme i kontakt. Centerets åbningstider blev i foråret gjort kortere om fredagen, og den daglige leder gjorde mig i venlighed opmærksom på dette, netop for at jeg ikke skulle gå forgæves, da jeg ikke havde ansigtsgenkendelse. SHC forklarer, at man hele tiden har kunnet komme ind 24/7 ved brug af JustFaces support. Det er jeg ikke blevet informeret om, personalet har ikke vidst dette, og forklaringen forekommer mig derfor at være en efterrationalisering. […]
SHCs svar indebærer, at alle brugere af træningscenteret skal bruge JustFace, med mindre man accepterer begrænset adgang. Man skal ringe til supporten hos JustFace, som enten kan lukke op eller tilsende en kode, baseret på information om medlemsskab videregivet fra SHC til JustFace.
Det afføder en ny problemstilling: Er nægtelsen af at acceptere brug af biometri en (følsom) personoplysning i sig selv, som man som borger kan kræve ikke kommer firmaer i hænde, som netop bygger deres forretningsmodel på ansigtsgenkendelse?
[…]
Der er ikke proportionalitet mellem metode og formål ved at bruge ansigtsgenkendelse/biometri til at regulere adgang til et træningscenter.
SHC har et rimeligt behov for at kontrollere adgang til deres centre. Det behov blev tidligere løst med nøglechip og videoovervågning. Det er ikke sandsynliggjort, at der er et udvidet behov for sikkerhed (det er et træningscenter, ikke et samfundsmæssigt høj-risiko anlæg), som eventuelt kunne retfærdiggøre brug af biometrisk data…”
2.4.
Den 8. november 2023 fremkom advokatfirmaet Elmann på vegne af SHC med det sidste indlæg i sagen. Det fremgår heraf:
”Som anført i SHC's besvarelse af Klagers henvendelse til Datatilsynet, som blev fremsendt den 8. juni d.å., er det afgivne samtykke specifikt og utvetydig. Link til samtykkeformular indgår som nævnt i indmeldelsesproceduren og Klager blev ligeledes under samme samtykkevilkår anmodet om tilkendegivelse af, hvorvidt Klager ønskede at afgive samtykke. Se link til "onboarding" sendt til Klager ved mail af 1. februar 2023.
Det er specifikt anført både på første side af beskrivelsen af "onboarding" processen og i selve samtykkeerklæringen sendt til Klager, at der er tale om et frivilligt samtykke, som til enhver tid kan tilbagekaldes.
Det er derfor en fejl, når den pågældende SHC medarbejder i mail til Klager den 6. februar 2023 oplyste, at det kun vil være muligt at træne i receptionens åbningstider, hvis et medlem ikke giver samtykke til ansigtsgenkendelse.
Ønsker et medlem ikke at afgive samtykke til anvendelse ansigtsgenkendelse, så giver SHC som tidligere nævnt medlemmerne flere alternative muligheder for at få adgang til SHC's lokaler, herunder ved anvendelse af kode, fjernåbning via døgnåben support og indtjekning via reception i bemandingstiden. Dette fremgår - og har hele tiden fremgået såvel af betjeningspanelet ved indgangsdøren samt ved oplysning fra personalet, som gerne åbner døren for medlemmerne i receptionens åbningstid.
Information herom fremgår endvidere af den af SHC offentliggjorte persondatapolitik […], hvor det er anført:
"Ønskes det ikke at biometriske oplysninger gemmes kan personer komme ind ved at ringe til JustFace døgnservice 76741265"
Det er korrekt (som også anført af Klager), at persondatapolitikken løbende opdateres, og senest er opdateret i maj 2023. Dog er ovenstående oplysning ikke ny, og oplysningen om adgang ved anvendelse af kode på tablet ved indgangsdør og indtjekning via personale i receptionens åbningstid har været tilgængelig siden JustFace adgangssystemets implementering den 1. marts 2023, hvilket ligeledes fremgår af pkt. 7.3 i persondatapolitikken.
Herudover har SHC siden implementeringen af JustFace adgangssystemet løbende uddannet sit personale om behandling af personoplysninger, herunder blandt andet virksomhedens persondatapolitik og reglerne for samtykke.
Set i lyset af den verserende klagesag og den fejlagtige oplysning, som er sendt til Klager, har SHC nu understreget overfor sit personale, at medlemmer, der ikke ønsker at anvende ansigtsgenkendelse som adgangskontrol, altid skal oplyses om de alternative måder, hvorpå der kan opnås adgang til SHC's lokaler.
Dette fremgår for det første af vedlagte FAQ, som medarbejderne modtog i marts 2023 og som medarbejderne på forespørgsel kan sende til de medlemmer, der ønsker dette. Det er heri anført:
"Skal jeg bruge ansigtsscan? Kun hvis du selv giver samtykke. Der er altid et alternativ på træningscentrenes tablet som fx brug af kode. Kontakt dit center, hvis du vil høre nærmere."
Endvidere fremgår det nu af SHC's personale-/uddannelseshåndbog, at der findes alternative adgangsmåder, så korrekt oplysning herom fra medarbejderne til medlemmerne sikres i videst muligt omfang:
"Ønskes der ikke adgang via ansigtsgenkendelse (at biometriske oplysninger gemmes) er det muligt for medlemmet at ringe til JustFace-døgnservice på tlf. 76741265. Via JustFace-døgnservice åbnes døren eller en engangskode oplyses til medlemmet, som ønsker adgang. Dette er kun muligt hvis medlemmet har et aktivt medlemskab, uden restance, bero eller andre forhold der medfører inaktivitet af et SHC medlemskab."
Det må således konkluderes, at der eksisterer alternative brugbare adgangsformer til adgangskontrol ved siden systemet til ansigtsgenkendelse.
SHC vurderer derfor fortsat, at systemet til ansigtsgodkendelse og processerne i forbindelse med afgivelse af samtykke er et udtryk for, at samtykke afgives frivilligt…
[…]
For at imødegå proportionalitetsprincippet er systemet netop indrettet på den måde, at der først sker ”aktivering” af systemet, når den kunde eller den ansatte, som ønsker, at der foretages en ansigtsscanning, har aktiveret systemet. Medlemmer, som ikke ønsker at blive scannet, har reelt mulighed for at undgå ansigtsscanning”
3. Datatilsynets begrundelse
3.1. Relevante retsregler
Databeskyttelsesforordningen finder ifølge artikel 2, stk. 1, anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Af databeskyttelsesforordningens artikel 6, stk. 1, fremgår det, at behandling kun er lovlig, hvis og i det omfang mindst ét af forholdene i bestemmelsens litra a-f gør sig gældende. Behandling er eksempelvis lovlig, jf. bestemmelsens litra a, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Efter databeskyttelsesforordningens artikel 9, stk. 1, gælder der et forbud mod behandling af særlige kategorier af oplysninger, herunder behandling af biometriske data med det formål entydigt at identificere en fysisk person.
Ved biometriske data forstås ifølge databeskyttelsesforordningens artikel 4, nr. 14, personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.
Ved et samtykke som omhandlet i databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, forstås ifølge artikel 4, nr. 11, enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.
Databeskyttelsesforordningens artikel 7 indeholder en række betingelser for samtykke. Det fremgår heraf:
- Stk.1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
- Stk. 2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.
- Stk. 3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.
- Stk. 4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.
Enhver behandling af personoplysninger skal – foruden at have et grundlag i databeskyttelsesforordningens artikel 6 & 9 – ske i overensstemmelse med principperne for behandling af personoplysninger i artikel 5. Det betyder, at personoplysninger skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
- indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
- være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
- være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
- opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
- behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
3.2. Datatilsynets praksis
Datatilsynet har i foråret 2022 i en tidligere sag truffet afgørelse om et fitnesscenters brug af ansigtskendelse (Datatilsynets j.nr. 2021-431-0145). I afgørelsen udtalte Datatilsynet bl.a.:
” Når der behandles personoplysninger i form af billeder i forbindelse med ansigtsscanning, sker der en behandling af biometriske data, jf. databeskyttelsesforordningens artikel 4, nr. 14.
FysioDanmark har oplyst, at systemet fungerer på den måde, at der er sat et kamera op ved indgangen til Fitnesscentret, som kan scanne kundens ansigt, hvorefter resultatet holdes op mod billeder allerede uploadet i systemet.
Der sker således sammenligning af biometriske oplysninger om den pågældende kunde (indsamlet på tidspunktet for identifikation) med en række biometriske skabeloner, som er lagret i en database.
Der sker således en eller flere matchprocesser, og der er derfor tale om behandling af biometriske data med det formål entydigt at identificere en fysisk person.
Det er som udgangspunkt forbudt at behandle sådanne oplysninger, jf. databeskyttelsesforordningens artikel 9, stk. 1, med mindre en undtagelse til dette forbud kan identificeres i bestemmelsens stk. 2.
Datatilsynet er i den forbindelse enig med FysioDanmark i, at kundens udtrykkelige samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a, er den mest passende undtagelse til forbuddet, idet ingen af de øvrige undtagelser i databeskyttelsesforordningens artikel 9, stk. 2, ses at finde anvendelse.
Datatilsynet lægger til grund, at FysioDanmark ved anvendelsen af kundens udtrykkelige samtykke vil iagttage forpligtelserne efter forordningens artikel 7, og tilsynet finder som følge heraf ikke grundlag for at tilsidesætte FysioDanmarks vurdering af, at det samtykke, som den registrerede i den forbindelse afgiver, lever op til reglerne for samtykke i databeskyttelsesforordningen, herunder kravet om at samtykke skal være frivilligt i forordningens artikel 4, nr. 11.
Datatilsynet har herved lagt vægt på udformningen og indholdet af den fremlagte samtykkeerklæring, og at det er valgfrit for kunden om vedkommende ønsker at gøre brug af ansigtsgenkendelse som adgangskontrol, idet kunden – såfremt vedkommende ikke ønsker at gøre brug af ansigtsgenkendelse – i stedet kan anvende adgangskort og kode.”
Datatilsynets afgørelse kan findes i sin helhed på tilsynets hjemmeside ved at søge på ”FysioDanmark”.
3.3. Vejledning fra Datatilsynet og Det Europæiske Databeskyttelsesråd (EDPB)
3.3.1. Datatilsynets vejledning om samtykke
Af Datatilsynets vejledning om samtykke fra maj 2021, som bygger på EDPBs retningslinjer 5/2020, fremgår om kravet om frivillighed, at:
”Et samtykke skal være frivilligt. Formålet med et samtykke er at give de registrerede et valg og ikke mindst kontrol over personoplysninger om dem selv. Et samtykke anses derfor ikke for at være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg. Et samtykke må f.eks. ikke være afgivet under tvang. Dette gælder, uanset om det er den dataansvarlige eller andre, der udøver tvang over for den registrerede.
Enhver form for upassende pres på eller påvirkning af den registreredes frie vilje medfører at samtykket er ugyldigt. ”
Endvidere fremgår om kravet om frivillighed, at:
”En dataansvarlig kan i et vist omfang motivere de registrerede til at give samtykke ved, at der er en fordel forbundet med at samtykke. Indmeldelse i en forretnings fordelsprogram kan f.eks. indebære rabatter, som motiverer kunden til at give samtykke til at modtage reklamemateriale fra forretningen. Den rabat eller de fordele et samtykke til et fordelsprogram medfører, udelukker ikke, at samtykket kan anses for at være frivilligt.
Det er dog vigtigt at være opmærksom på, om manglende samtykke medfører negative konsekvenser for den registrerede, som ikke vil give samtykke – f.eks. i form af meromkostninger…”
Om kravet om informeret fremgår, at:
”Et samtykke skal være informeret. Det betyder, at den registrerede skal være klar over, hvad der gives samtykke til. Den dataansvarlige skal give den registrerede en række informationer, som skal sikre, at den registrerede kan træffe sin beslutning på et oplyst grundlag. Der gælder ingen formkrav til, hvordan denne information skal gives. Det er altså muligt at opfylde kravet både skriftligt, mundtligt eller digitalt.”
Datatilsynets vejledning om samtykke kan findes i sin helhed på Datatilsynets hjemmeside.
3.3.2. EDPBs retningslinjer om brug af videoudstyr til behandling af personoplysninger
Af EDPBs retningslinjer 3/2019 om brug af videoudstyr til behandling af personoplysninger fremgår om samtykke til behandling af biometriske oplysninger:
”Endelig gælder, at når der kræves samtykke i henhold til artikel 9 i GDPR, må den dataansvarlige ikke gøre adgangen til sine tjenester betinget af, at den biometriske behandling accepteres. Med andre ord, og navnlig når den biometriske behandling anvendes til autentificeringsformål, skal den dataansvarlige tilbyde en alternativ løsning, der ikke omfatter biometrisk behandling – uden begrænsninger eller ekstra omkostninger for den registrerede. Denne alternative løsning er også nødvendig for personer, der ikke opfylder kravene til det biometriske udstyr (registrering eller aflæsning af de biometriske data umulig, handicap vanskeliggør dets anvendelse mv.), og hvis det biometriske udstyr ikke er tilgængelig (f.eks. ved en fejl i anordningen). I de tilfælde skal der anvendes en "alternativ løsning" for at sikre kontinuiteten i den påtænkte tjeneste, som dog begrænses til ekstraordinær anvendelse. I særlige tilfælde kan der foreligge en situation, hvor behandling af biometriske data er den centrale aktivitet i en tjenesteydelseskontrakt, f.eks. hvis et museum arrangerer en udstilling, hvor man demonstrerer anvendelsen af et system til ansigtsgenkendelse. I det tilfælde vil de registrerede ikke kunne afvise behandlingen af biometriske data, hvis de ønsker at besøge udstillingen. Det samtykke, der kræves i henhold til artikel 9, er i så fald stadig gyldigt, hvis kravene i artikel 7 er opfyldt.”
3.4. Datatilsynets vurdering af den konkrete sag
Sagen omhandler, at fitnesscentret SHC har indført ansigtsgenkendelse som adgangskontrol til selskabets fitnesscentre, herunder SHC’s indhentning af samtykke til behandling af personoplysninger i den forbindelse.
Datatilsynet har i den føromtalte sag om FysioDanmark (indirekte) vurderet, at anvendelsen af ansigtsgenkendelse som adgangskontrol til fitnesscentre ikke i sig selv kan anses for stridende mod de grundlæggende principper i databeskyttelsesforordningens artikel 5, herunder kravene til proportionalitet.
Datatilsynet finder følgelig, at SHC – forudsat at betingelserne for lovlig behandling i øvrigt er opfyldt – tilsvarende kan anvende ansigtsgenkendelse som adgangskontrol til sine fitnesscentre.
Datatilsynet har herved også lagt vægt på, at behandlingen sker på baggrund af samtykke, jf. nedenfor, og at den registrerede derfor har et valg i forhold til – og kontrol over – om der sker ansigtsgenkendelse og den dertilhørende behandling af oplysninger.
Sagen rejser i den forbindelse en række generelle spørgsmål om kravene til et samtykke, herunder om de mulige alternativer i den konkrete sag kan anses for at udgøre et reelt alternativ. Dernæst rejser sagen spørgsmål om samtykke i forhold til klager.
3.4.1. Er samtykket generelt gyldigt?
Når der behandles personoplysninger i form af billeder i forbindelse med ansigtsscanning, sker der en behandling af biometriske data, jf. databeskyttelsesforordningens artikel 4, nr. 14.
Det fremgår af sagen, at systemet fungerer på den måde, at der er sat et kamera op, som kan scanne kundens ansigt, hvorefter resultatet holdes op mod billeder allerede uploadet i systemet.
Der sker således sammenligning af biometriske oplysninger om den pågældende kunde (indsamlet på tidspunktet for identifikation) med en række biometriske skabeloner, som er lagret i en database.
Der sker således en eller flere matchprocesser, og der er derfor tale om behandling af biometriske data med det formål entydigt at identificere en fysisk person.
Det er som udgangspunkt forbudt at behandle sådanne oplysninger, jf. databeskyttelsesforordningens artikel 9, stk. 1, med mindre en undtagelse til dette forbud kan identificeres i bestemmelsens stk. 2.
Datatilsynet har noteret sig, at SHC har indrettet systemet således, at systemet skal aktiveres, for at der foretages en scanning, f.eks. ved tastetryk, og at der derfor ikke sker (ulovlig) behandling af oplysninger om personer, som ikke har samtykket til ansigtsgenkendelse.
Datatilsynet er enig med SHC i, at udtrykkeligt samtykke, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a, er den mest passende undtagelse til forbuddet, idet ingen af de øvrige undtagelser i databeskyttelsesforordningens artikel 9, stk. 2, ses at finde anvendelse.
For at udtrykkeligt samtykke i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra a, og artikel 6, stk. 1, litra a, er gyldigt, skal det i henhold til databeskyttelsesforordningens artikel 4, nr. 11, være bl.a. frivilligt.
Et samtykke kan ikke anses for frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsformål vedrørende personoplysninger, og den registrerede dermed tvinges til at samtykke til samtlige formål. Et samtykke skal derfor granuleres (opdeles)[1].
Det er til sagen oplyst, at SHC – ud over behandling af biometriske data i forbindelse med adgangskontrol – via systemet indsamler oplysninger til brug for statistik, herunder tjekindtidspunkt på kunder. SHC har i den forbindelse oplyst, at denne behandling sker på grundlag af den såkaldte interesseafvejningsregel i databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Datatilsynet er i den forbindelse enig med SHC i, at oplysningen om, hvornår en kunde tjekker ind, i sig selv er oplysninger, som alene er omfattet af databeskyttelsesforordningens artikel 6.
Det er imidlertid Datatilsynets opfattelse, at disse oplysninger har karakter af ”afledte” oplysninger, idet oplysningerne (efter omstændighederne) tilvejebringes ved anvendelse af ansigtsgenkendelse.
Der er derfor også for denne behandling tale om behandling af biometriske data med det formål entydigt at identificere en fysisk person omfattet af forbuddet i databeskyttelsesforordningens artikel 9, stk. 1.
For at et samtykke er gyldigt, skal SHC derved have granuleret samtykket således, at der både kan samtykkes til behandling af biometriske data som led i adgang til fitnesscenteret og til anvendelsen af ansigtsscan til at føre den omhandlede statistik.
Datatilsynet har i den forbindelse noteret sig, at SHC giver muligheden for at man kan samtykke til både ”anvendelse af ansigtsscan som adgangsmetode” og ”anvendelse af ansigtsscan til at føre statisk over brugen af fitnesscenteret”.
Datatilsynet finder på den baggrund, at det samtykke, som SHC indhenter, er tilstrækkelig granuleret. SHC bør dog overveje at tydeliggøre i samtykkeerklæringen, hvad ”statistik over brugen af fitnesscenteret” dækker over.
Datatilsynet finder i forlængelse heraf anledning til at bemærke, at SHC – uanset om SHC baserer sin behandling på artikel 6, stk. 1, litra f – ikke kan anvende ”afledte” oplysninger, som er tilvejebragt ved anvendelse af ansigtsgenkendelse, hvis ikke SHC har udtrykkeligt samtykke hertil i henhold til artikel 9, stk. 2, litra a.
Når det kommer til brugen af samtykke i forbindelse med ansigtsgenkendelse, er det endvidere Datatilsynets opfattelse – i overensstemmelse med det anførte i EDPBs retningslinjer 3/2019 – at kravet om frivillighed i en sag som denne indebærer, at dataansvarlige – i dette tilfælde SHC – skal tilbyde en alternativ løsning, der ikke omfatter behandling af biometriske oplysninger.
Dette alternativ skal ikke være identisk, men må dog ikke indebære ikke uvæsentlige begrænsninger eller omkostninger for den registrerede.
Det er Datatilsynets vurdering, at det, at man har mulighed for at tjekke ind i receptionen via personlig betjening i receptionens åbningstid, ikke i sig selv kan anses for et tilsvarende alternativ, idet man herved begrænses i sin adgang til centeret i forhold til, hvis man samtykker til ansigtsgenkendelse.
Som SHC har redegjort for, giver SHC mulighed for, hvis man ikke vil samtykke til ansigtsgenkendelse, at man – foruden muligheden for at tjekke ind i receptionen via personlig betjening – kan ringe til support, som kan åbne døren, og at man kan generere en kode ved at ringe til support.
Idet de alternative muligheder (generere en kode eller ringe til support) giver samme adgang til centeret som samtykke til ansigtsgenkendelse, og da de alternative muligheder ikke er forbundet med nævneværdige begrænsninger eller økonomiske omkostninger, finder Datatilsynet, at SHC tilbyder tilstrækkelige alternativer.
Datatilsynet forudsætter i den forbindelse, at der er tale om reelle alternativer, herunder at man ikke skal vente urimelig længe på at komme igennem til support for at generere en kode eller blive lukket ind.
Da sagen i forhold til det spørgsmål, som denne sag vedrører (adgang for kunder), ikke herudover giver Datatilsynet anledning til at stille spørgsmålstegn ved samtykkets frivillighed, finder Datatilsynet, at SHC indhenter et frivilligt samtykke.
Datatilsynet bemærker i den forbindelse, at spørgsmålet om eventuelt samtykke fra ansatte ikke er en del af denne sag, hvorfor tilsynet ikke har taget stilling hertil. Datatilsynet kan henvise til tilsynets afgørelse i sagen om FysioDanmark for betragtninger herom.
Udover at være frivilligt skal et samtykke også være informeret. Det betyder, at den registrerede skal være klar over, hvad der gives samtykke til. Det indebærer, at den dataansvarlige skal give den registrerede en række informationer, som skal sikre, at den registrerede kan træffe sin beslutning på et oplyst grundlag.
I en situation som den foreliggende er det Datatilsynets opfattelse, at kravet om, at et samtykke skal være informeret, indebærer, at den registrerede skal oplyses om de alternativer, der er til samtykke til ansigtsgenkendelse.
Datatilsynet har konstateret, at SHC har udfoldet visse bestræbelser på at gøre dette, bl.a. på infoskærmene ved indgang til fitnesscentrene og i selskabets persondatapolitik.
Som sagen foreligger oplyst, er det imidlertid Datatilsynets vurdering, at informationen om alternativerne, som SHC giver, til en vis grad fremstår fragmenteret. Eksempelvis ses den registrerede selv i persondatapolitikken at skulle finde nærmere oplysninger om de mulige alternativer, ligesom den registrerede selv skal udlede hvad ”kode” og henvisningen til support dækker over på infoskærmene ved indgangen til fitnesscentrene.
Det er under alle omstændigheder Datatilsynets opfattelse, at det vil være bedst stemmende med kravene til informeret samtykke, hvis det i forbindelse med indhentelsen af samtykket – allerede i selve samtykkeerklæringen – fremgår, at der er alternativer, og hvor man kan læse mere om disse. Det bemærkes i den forbindelse, at dette ses at være en relativ simpel fremgangsmåde.
Datatilsynet finder på baggrund af ovenstående samlet set, at SHC, hvis SHC sikrer sig, at det samtykke, som SHC indhenter, er informeret, indhenter et gyldigt samtykke, som i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra, a, kan udgøre undtagelse til forbuddet mod behandling af særlige kategorier af oplysninger. Følgelig vil samtykket også kunne danne grundlag for behandling i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Det, som i øvrigt er anført til sagen, herunder om nægtelsen af at give samtykke i sig selv er en særlig kategori af personoplysning, kan ikke føre til en anden vurdering af samtykkets gyldighed eller behandlingens lovlighed i øvrigt.
3.4.2. Samtykke i forhold til klager?
Det er – uanset ovenstående om samtykkets generelle frivillighed - Datatilsynets opfattelse, at den omstændighed, at klager fra en medarbejder fik at vide, at ”[h]vis [et] medlem ikke ønsker at give samtykke til ansigtsgenkendelse er det kun muligt at træne i vores centre i bemandet åbningstid”, må antages at have givet klager en berettiget opfattelse af, at der ikke ville være nogen alternativer til ansigtsgenkendelse.
Det er efter Datatilsynets vurdering at sidestille med, at der ikke ville være nogen alternativer. Dette betyder, at det samtykke, som på daværende tidspunkt blev forsøgt indhentet fra klager, ikke ville være gyldigt.
Under disse omstændigheder finder Datatilsynet grundlag for at udtale kritik af, at det samtykke, som SHC konkret forsøgte at indhente fra klager, ikke var frivilligt og dermed ikke gyldigt.
Klager må imidlertid anses for på nuværende tidspunkt at være tilstrækkelig oplyst om de mulige alternativer, hvorfor der vil kunne indhentes et gyldigt samtykke.
[1] Det Europæiske Databeskyttelsesråds retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679 (version 1.1, vedtaget den 4. maj 2020), side 13.