Journalnummer: 2003-212-0143
Datatilsynet har den 23. december 2002 modtaget en forespørgsel om BornholmsTrafikkens anvendelse af fingeraftryk til identifikation i forbindelse med indførelse af nyt id-kort til pendlere.
BornholmsTrafikken har i brev af 28. januar 2003 redegjort for anvendelsen af fingeraftryk på Bornholmerkortet. Endvidere har BornholmsTrafikken og leverandøren af systemet demonstreret dette over for Datatilsynet den 21. februar 2003.
BornholmsTrafikken er en statsvirksomhed, hvis hovedformål er at sørge for transport til og fra Bornholm af passagerer, post og gods.
Det fremgår af sagen, at BornholmsTrafikken hidtil har haft et rabatsystem for gående pendlere, hvorefter en kunde - for at få visse rabatter - skulle fremvise et særligt id-rabatkort med billede. BornholmsTrafikken indfører i marts 2003 afløseren for det hidtidige person id-rabatkort.
Det nye rabatkort, “Bornholmerkortet” er et personligt chipkort, der indeholder kundens fingeraftryk. For at få et Bornholmerkort skal kunden for det første udfylde og underskrive en formular samt i den forbindelse oplyse kortnummer og andre relevante data på kundens Dankort eller andet kreditkort.
I forbindelse med den konkrete rejse foretages betaling automatisk ved, at BornholmsTrafikken trækker billetprisen på det oplyste Dankort eller kreditkort. Ved udstedelsen af Bornholmerkortet bliver der via et “Bio-match-program” udregnet en værdi på 19 målepunkter af kundens fingeraftryk, og det er denne værdi, der ligger i chipkortet. Der ligger således ikke en kopi af kundens fingeraftryk i chippen. Udover værdien af fingeraftrykket indeholder Bornholmerkortets chip oplysning om kundens kundenummer hos BornholmsTrafikken. Dette kundenummer findes ligeledes i BornholmsTrafikkens bookingsystem. Endelig har Bornholmerkortet et unikt kortnummer trykt på forsiden.
Når en kunde ønsker at rejse, reserverer kunden plads via internet eller telefon. Når kunden kommer frem til terminalbygningen, går kunden direkte til gaten, hvor Bornholmerkortet føres forbi en kortlæser, der tjekker, om kundenummeret findes i bookingsystemet. Hvis dette er tilfældet, lyser kortlæseren grønt i et felt. Kunden kan herefter sætte sin finger på en scanner. Hvis scanneren kan matche kundens fingeraftryk med værdien i chippen på Bornholmerkortet, lyser også et andet felt grønt, og kunden gives adgang til færgen. Samtidig hermed udskrives kvittering for køb af billet og træk på Dankort/ kreditkort til kunden.
BornholmsTrafikken har oplyst, at der ikke opbevares oplysninger om de udregnede værdier af kundernes fingeraftryk, hverken i forbindelse med lagringen af oplysninger på kortet eller i forbindelse med kundens scanning af kort og fingeraftryk ved check-in. Der er således ikke nogen central database med disse oplysninger. Den udregnede værdi opbevares udelukkende på kundens eget kort.
Den overførsel af oplysninger, der sker ved matchningen af den lagrede værdi i chipkortet og scanningen af kundens fingeraftryk, sker i krypteret form. Det er supplerende oplyst, at ifølge teknisk forskrift om optælling og registrering af de ombordværende i passagerskibe1 § 4 skal alle passagerer registreres med navn, nationalitet, køn og fødselsår.
Datatilsynet skal herefter udtale følgende:
Datatilsynet lægger til grund, at de kunder, der indgår aftale med Bornholms-Trafikken om erhvervelse af et Bornholmerkort, indgår denne aftale frivilligt og er bekendt med de vilkår, som gælder for aftalen.
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger(persondataloven) gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et register.
Ved “personoplysninger” forstås ifølge lovens § 3, nr. 1, enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Ifølge lovens § 3, stk. 1, nr. 2, forstås ved “behandling” enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Begrebet behandling skal forstås i meget bred forstand.
Det er Datatilsynets vurdering, at den værdi af kundens fingeraftryk, som ligger lagret i chippen, er at betragte som en personoplysning omfattet af persondataloven.
Endvidere er det Datatilsynets opfattelse, at den behandling, der finder sted i forbindelse med såvel lagringen af fingeraftryk på chippen (ved udstedelsen) som ved aflæsning af Bornholmerkort og fingeraftryk ved indcheckning, er behandlinger omfattet af persondatalovens behandlingsbegreb.
Persondataloven sondrer mellem forskellige kategorier af oplysninger: Følsomme oplysninger, andre følsomme oplysninger og almindelige oplysninger. Der er forskellige behandlingsregler alt afhængig af, hvilken kategori af oplysninger der er tale om.
Lovens § 7, stk. 1, omhandler oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Disse oplysninger anses for følsomme oplysninger. Lovens § 8, stk. 1, omhandler oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte. Disse oplysningstyper anses også for følsomme. Oplysningskategorier, som ikke er nævnt i § 7, stk. 1, eller § 8, stk. 1, er omfattet af lovens § 6 og kan karakteriseres som almindelige ikke-følsomme oplysninger.
Et fingeraftryk eller den udregnede værdi af et fingeraftryk må efter Datatilsynets opfattelse anses for en oplysning omfattet af persondatalovens § 6.
Behandling af almindelige ikke-følsomme oplysninger skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af en foranstaltning, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, jf. § 6, stk. 1, nr. 2.
Behandling kan endvidere finde sted, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. § 6, stk. 1, nr. 3, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
BornholmsTrafikken kan i forbindelse med lagringen af oplysninger på kortet (ved udstedelsen) og i forbindelse med, at kunden identificerer sig ved check-in, foretage behandling af oplysningerne, hvis kunden har givet sit udtrykkelige samtykke hertil, jf. § 6, stk. 1, nr. 1.
Det er endvidere Datatilsynets opfattelse, at BornholmsTrafikken i forbindelse med lagringen af oplysninger på kortet (ved udstedelsen) og i forbindelse med, at kunden identificerer sig ved check-in, kan foretage behandlinger, som er nødvendige for opfyldelse af den aftale om brug af Bornholmerkortet, som kunden har indgået med BornholmsTrafikken, jf. persondatalovens § 6, stk. 1, nr. 2.
Det er endelig Datatilsynets opfattelse, at hensynet til BornholmsTrafikkens interesse i at sikre entydig identifikation af deres kunder vejer tungere end kundens interesse i, at oplysningerne ikke behandles, og at persondatalovens § 6, stk. 1, nr. 7, således også er opfyldt.
Datatilsynet lægger herved vægt på, at kunden frivilligt har valgt at benytte rabatkortet "Bornholmerkortet". Datatilsynet lægger endvidere vægt på, at den udregnede værdi af kundens fingeraftryk alene opbevares på kundens eget kort, og at hverken værdien eller fingeraftrykket opbevares eller lagres andre steder.
Behandling af personoplysninger skal ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Af § 5, stk. 3, følger, at behandling af oplysninger skal være relevant og tilstrækkelig og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles. Det betyder, at behandling af oplysninger er undergivet et proportionalitetsprincip.
Det er Datatilsynets opfattelse, at den behandling af oplysninger om kunders fingeraftryk, der sker i forbindelse med BornholmsTrafikkens nye system, ikke er i strid med dette proportionalitetsprincip.
Sammenfattende er det således Datatilsynets vurdering, at behandling af oplysninger om kunders fingeraftryk i forbindelse med BornholmsTrafikkens nye id-kort “Bornholmerkortet”, som det er beskrevet ovenfor, kan finde sted inden for rammerne af persondatalovens regler.
Det tilføjes, at Datatilsynets udtalelse er vejledende. Tilsynet forbeholder sig sin stillingtagen, hvis der ved brugen af systemet i praksis skulle vise sig uhensigtsmæssigheder i relation til persondataloven.