Journalnummer: 2004-219-0208
De har i e-post af 18. marts 2004 anmodet om Datatilsynets vurdering af et adgangskontrolsystem, der bygger på biometrisk identifikation.
Det fremgår af Deres henvendelse, at systemet skal fungere som adgangssystem til motionscentre. Medlemmer af motionscenteret får ved indgangen aflæst fingeraftryk på en scanner, der udregner en matchværdi som efterfølgende holdes op mod motionscenterets medlemsdatabase. Udregningen af matchværdien sker i scanneren, og scanningen af fingeraftrykket forlader således ikke scanneren.
Oplysningerne bliver behandlet med medlemmets samtykke og slettes, når et medlemskab ophører.
Data bliver lagret krypteret og det vil ikke være muligt at eksportere data fra systemet. Matchværdier fra personer, der får deres finger scannet, men hvis aftryk ikke ligger i databasen, bliver straks slettet.
De oplyser, at baggrunden for systemet er, at mange motionscentre i dag benytter sygesikringsbeviset som adgangskort, men at dette rummer en række ulemper. Der kan eksempelvis ikke gives adgang, hvis medlemmet har glemt sit kort, ligesom der er en risiko for misbrug, idet kortet ikke er forsynet med billedet. Et egentligt medlemskort med billedes kan imødegå problemet med misbrug, men det er tidskrævende at kontrollere alle billeder, ligesom det ikke eliminerer ulempen ved at glemme kortet.
Datatilsynet kan på denne baggrund oplyse følgende:
Persondataloven gælder ifølge § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Loven kan læses/hentes på Datatilsynets hjemmeside under punktet lovgivning.
Ved “personoplysninger” forstås ifølge lovens § 3, nr. 1, enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Ved “behandling” forstås ifølge lovens § 3, nr. 2, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysningerne gøres til genstand for. Begrebet behandling skal således forstås i meget bred forstand.
Det er Datatilsynets vurdering, at matchværdien er at betragte som en personoplysning omfattet af persondataloven. Endvidere er det tilsynets opfattelse, at de behandlinger, der finder sted i forbindelse med scanning af fingeraftryk, udregningen af matchværdier og sammenligningen i forhold til databasen, er behandlinger omfattet af persondatalovens behandlingsbegreb.
Persondataloven sondrer mellem forskellige kategorier af oplysninger: Følsomme oplysninger, andre følsomme oplysninger og almindelige ikke-følsomme oplysninger. Der er forskellige behandlingsregler alt afhængig af, hvilken kategori af oplysninger der er tale om.
Følsomme oplysninger er ifølge persondataloven § 7, stk. 1, oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Andre følsomme oplysninger beskrives i § 8, stk. 1, som oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte. Oplysningskategorier, som ikke er nævnt i § 7, stk. 1, eller § 8, stk. 1, er omfattet af lovens § 6 og kan karakteriseres som almindelige ikke-følsomme oplysninger.
Et fingeraftryk eller den udregnede værdi af et fingeraftryk må efter Datatilsynets opfattelse anses for en oplysning omfattet af persondatalovens § 6.
Behandling af almindelige ikke-følsomme oplysninger skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Dertil kommer en række grundlæggende principper for den dataansvarliges behandling af oplysninger. Disse krav skal altid være opfyldt og gælder i tillæg til behandlingsreglerne i bl.a. § 6.
Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Af § 5, stk. 3, følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Datatilsynet har tidligere udtalt sig om brug af fingeraftryk til identifikation. I sagen vedrørende BornholmsTrafikkens nye id-kort udtalte Datatilsynet, at behandling af oplysninger om kunders fingeraftryk i id-kortet kunne finde sted inden for rammerne af persondatalovens regler. Datatilsynet lagde vægt på, at brugen af kortet er frivilligt, at det kun er matchværdien, der opbevares på kundens eget kort, og ikke en kopi af fingeraftrykket, samt at hverken den udregnede værdi eller kopi af fingeraftrykket ville blive lagret andre steder.
Den konkrete forespørgsel adskiller sig fra den tidligere sag, idet matchværdierne ikke skal opbevares på et kort, som den registrerede er i besiddelse af, men i en database som den registrerede ikke har samme mulighed for at føre kontrol med.
Det fremgår af Deres henvendelse, at behandling af oplysninger vil ske med samtykke.
På dette grundlag er det imidlertid Datatilsynets umiddelbare vurdering, at den i denne sag beskrevne behandling ikke vil kunne ske inden for rammerne af persondatalovens regler. Datatilsynet lægger herved vægt på, at formålet med behandlingen ikke synes at stå mål med, hvor indgribende en behandling der er tale om. Hensynet til at etablere en adgangskontrol i et motionscenter uden brug af kort kan efter Datatilsynets umiddelbare opfattelse ikke retfærdiggøre behandlingen af matchværdier i en central database. Det er Datatilsynets vurdering, at det ønskede formål kan forfølges med mindre indgribende midler.
Datatilsynet håber hermed at have besvaret Deres forespørgsel. Hvis ovenstående giver anledning til spørgsmål, er De velkommen til at kontakte undertegnede – gerne telefonisk.
Datatilsynet kan i øvrig henvise til vedlagte arbejdsdokument om biometriske data fra artikel 29-gruppen. Artikel 29-gruppen er en rådgivende og uafhængig gruppe, der består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen. Gruppen er nedsat med hjemmel i databeskyttelsesdirektivet.
Datatilsynet skal beklage den lange sagsbehandlingstid, der skyldes travlhed i tilsynet.