Journalnummer: 2005-212-0299
Ved brev af 4. oktober 2005 har De som advokat for Tivoli rettet henvendelse til Datatilsynet med en forespørgsel om brug af billeddata-base i forbindelse med adgangskontrol til Tivoli.
Der har desuden været afholdt et møde mellem Tivoli og Datatilsynet den 3. november 2005.
Det fremgår af sagen, at Tivoli har ca. 300.000 årskortholdere. Disse udgør en væsentlig del af Tivolis indtjeningsgrundlag. Tivoli har haft en formodning om, at der gennem de sidste år har været en del snyd med årskortene, således at disse i en vis udstrækning er anvendt uberettiget af en anden person end den, som kortet er udstedt til. Tivoli har derfor gennemført stikprøvekontrol og derved fundet ud af, at der blev snydt med godt 8 % af de benyttede årskort.
Tivoli har derfor overvejet, hvorledes man kan dæmme op for dette misbrug –primært gennem øget kontrol.
Tivoli har i den forbindelse pointeret, at der i forbindelse med store arrangementer, f.eks. fredagsrock og julemarked, er et stort pres på indgangene til Tivoli, da der lukkes mellem 6.000-8.000 personer ind i haven pr. time op til disse arrangementer. Der er derfor behov for at kunne lukke mange abonnenter ind i haven, uden at der indsættes tidskrævende kontrolforanstaltninger. Det er samtidig oplyst, at årskortabonnenterne især besøger haven i forbindelse med disse arrangementer.
Tivoli har overvejet flere forskellige løsningsmodeller. Tivoli har bl.a. overvejet muligheden for at indføre en manuel adgangskontrol f.eks. ved forevisning af billede-ID eller at indføre et kort med billede på eller at indføre et mikrochipkort, hvor et billede af gæsten vil blive lagt ned i chippen på kortet, som så vil kunne aflæses i forbindelse med gæstens besøg i Tivoli. Endvidere har et kort, der indeholder en nøgle, som er forudsætningen for at få adgang til et bestemt billede i databasen været undersøgt.
Af forskellige årsager har Tivoli ikke fundet nogle af de nævnte løsninger optimale.
Tivoli ønsker i stedet at indføre en løsning, hvor grovkornede digitale billeder med en lav opløsning lagres i en database. Billederne vil ikke blive trykt på kortet, men bliver opbevaret i Tivolis database. Ved besøg i haven kører gæsten sit kort igennem en kortlæser ved indgangen, hvorefter gæstens billede bliver synligt for kontrolløren (og kun denne) via en skærm.
Tivolis formål med ordningen er udelukkende at sikre sig, at den aktuelle gæst er lig med kortholderen, og der vil ikke udover visningen af gæstens billede på skærmen ske behandling af personoplysninger.
Tivoli har desuden oplyst, at hvis en gæst undtagelsesvist protesterer imod, at der bliver taget et billede, så vil Tivoli acceptere dette. I givet fald vil den pågældende blive instrueret om at have en anden form for billedlegitimation klar, når kortet anvendes.
Det er Tivolis vurdering, at ordningen samt den heraf følgende registrering af billeder af årskortholderne i en database kan ske i medfør af persondatalovens § 6, stk. 1, nr. 7, idet behandlingen er nødvendig for, at Tivoli kan forfølge en berettiget interesse i forhold til at undgå snyd. Det er samtidig Tivolis vurdering, at det konstaterede omfang af misbrugte årskort viser, at Tivoli har en interesse i at foretage denne vurdering, der over-stiger gæsternes interesse i, at der ikke foretages en sådan registrering. Tivoli har i den forbindelse lagt vægt på, at gæsten er fuldt informeret om, at der foretages en sådan registrering, at gæsten kan undlade at lade sig fotografere, og at det derfor må anses som frivilligt, at gæsten faktisk lader sig fotografere.
Tivoli oplyser, at haven i forbindelse med indførelsen af ordningen fuldt ud vil leve op til persondataloven herunder sikre, at de registrerede får tilstrækkelige oplysninger om behandling af deres personoplysninger og om deres rettigheder mv., således at reglerne i persondatalovens kapitel 8 om oplysningspligt fuldt ud opfyldes.
Tivoli har desuden oplyst, at alle sikkerhedskrav vil blive opfyldt. Kontrolløren skal således have en særlig autorisation for at få adgang til systemet. Det lagrede billede vil kun blive brugt til den fysiske adgangskontrol ved indgangen, og det vil ikke være muligt at anvende det lagrede digitale billede til yderligere digital behandling, f.eks. med henblik på automatisk ansigtsgenkendelse ved indgangen eller søgning i databasen på baggrund af et billede.
Tivoli har efter fremsendelse af forespørgslen udsendt brev til de eksisterende årskortholdere med tilbud om fornyelse af årskortet. Tivoli har i brevet oplyst, at der vil blive taget et portrætfoto af årskortholderen, der gemmes med henblik på adgangskontrol. Det fremgår desuden af brevet, at der ved besøg i Tivoli bliver vist et billede af kortholderen på en skærm, der er synlig for kontrolløren ved indgangen.
På mødet har Tivoli oplyst, at systemet ikke er taget i brug, men at Tivoli af hensyn til oplysningspligten overfor eksisterende årskortholdere i forbindelse med udsendelse af information om mulighed for at forny årskortet har fundet det hensigtsmæssigt at orientere om det nye system.
Datatilsynet skal – efter at sagen har været behandlet på et møde i Datarådet – udtale følgende:
1. Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Efter Datatilsynets opfattelse vil Tivolis indsamling, registrering og anvendelse af de omhandlede billeder af årskortholdere udgøre behandling af personoplysninger omfattet af persondataloven. Datatilsynet lægger herved vægt på, at der er tale om digitale billeder, der lagres i en database, og at der sammen med billederne behandles oplysninger om personernes identitet.
2. Persondatalovens § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v. af oplysninger. Disse krav skal altid være opfyldt. Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig.
Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål.
Endelig følger det af § 5, stk. 3, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Ud over, at behandlingen af personoplysninger skal opfylde de grundlæggende principper i persondatalovens § 5, skal der imidlertid også findes hjemmel til behandlingen i lovens §§ 6, 7 eller 8 afhængig, af hvilke type oplysninger der er tale om.
Datatilsynet lægger til grund, at det med Tivolis behandling af billeder alene er hensigten at sikre, at den aktuelle gæst er lig med kortholderen. Det kan således ikke anses for tilsigtet at behandle eventuelle følsomme oplysninger om personen, som vil kunne udledes af et billede af den registrerede.
Det er på den baggrund Datatilsynets opfattelse, at Tivolis behandling af billeder af abonnenterne skal vurderes i forhold til persondatalovens § 6, som regulerer behandling af almindelige ikke-følsomme oplysninger.
Behandling af almindelige ikke-følsomme oplysninger kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1 eller hvis behandlingen er nødvendig for at opfyldelse af en aftale, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan aftale, jf. § 6, stk. 1, nr. 2, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Datatilsynet finder, at Tivolis indsamling og registrering af billederne ikke generelt kan ske i medfør af persondatalovens § 6, stk. 1, nr. 2 eller nr. 7. Datatilsynet lægger herved vægt på, at den behandling af personoplysninger, som Tivoli ønsker, ikke fuldt ud kan anses for nødvendig af hensyn til opfyldelse af en aftale, jf. § 6, stk. 1, nr. 2, ligesom tilsynet ikke finder at kunne udelukke, at der i konkrete tilfælde kan være modstående hensyn, som overstiger Tivolis interesse i behandlingen, jf. § 6, stk. 1, nr. 7. Datatilsynet antager således, at der vil være personer, som vil føle ubehag ved at skulle have deres billede registreret, og som vil foretrække en anden løsning, selv om det medfører ulemper for den pågældende.
Hertil kommer, at persondatalovens grundregel i persondatalovens § 5, stk. 1, om god databehandlingsskik bl.a. indebærer, at den dataansvarlige nøje skal overholde reglerne i loven, såvel i ånd som i bogstav, og ikke må forsøge at omgå reglerne.
Datatilsynet finder derfor, at Tivoli bør basere sin behandling af digitale billeder af årskortholdere på et samtykke fra årskortholderen til, at Tivoli tager et billede af den pågældende og opbevarer det i en database, jf. herved persondatalovens § 6, stk. 1, nr. 1, for derved også at sikre den enkelte abonnent mulighed for i stedet at anvende billedlegitimation i forbindelse med årskortet.
Et samtykke fra den registrerede skal opfylde betingelserne i lovens § 3, nr. 8, hvoraf fremgår, at et samtykke er enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at oplysninger der vedrører den pågældende selv, gøres til genstand for behandling.
På baggrund af de foreliggende oplysninger har Datatilsynet ikke grundlag for at tilsidesætte Tivolis vurdering af, at der er tale om en saglig og proportionel behandling af personoplysninger. Datatilsynet har herved bl.a. lagt vægt på oplysningen om, at Tivolis kunder har mulighed for at vælge andre løsninger ved besøg i Tivoli.
3. Datatilsynet har noteret sig, at Tivoli har oplyst fuldt ud at ville leve op til kravene i persondataloven, herunder reglerne om oplysningspligt og reglerne om sikkerhed.
4. Datatilsynet skal desuden anbefale, at Tivoli fastsætter sletterutiner for de indsamlede oplysninger, jf. persondatalovens § 5.
Datatilsynet skal for god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.