Journalnummer: 2006-219-0370
Ved brev af 11. januar 2006 har Scandinavian Airlines Danmark (SAS) rettet henvendelse til Datatilsynet med en forespørgsel om selskabets påtænkte behandling af flypassagerers biometriske oplysninger i form af en template af fingeraftryk.
Det fremgår af selskabets henvendelse, at flyselskaber som følge af EU forordning nr. 2320/2002 er blevet pålagt at sikre, at den person, som indleverer bagage til indcheckning på et fly, også er den person, der konkret rejser med flyet.
Fra den 15. oktober 2005 har SAS indført en sådan kontrol bestående af en manuel ID kontrol ved indlevering af bagage samt ved påstigning på flyet på samtlige udenrigsafgange.
En tilsvarende manuel håndtering på indenrigsafgange er ikke mulig, dels på grund af det store antal indenrigspassagerer, dels på grund af at hele 80 % af de nuværende indenrigspassagerer anvender SAS’ selvbetjeningsløsning ved check-in og påstigning. Check-in via internettet, telefon og SMS samt påstigning ved ubemandede tælleapparater eller kortlæsere er indført som led i de omkostningsnedskæringer, som SAS har været tvunget til at gennemføre de seneste år. Selvbetjeningskonceptet er endvidere et vigtigt konkurrenceværktøj for SAS, som SAS påtænker at videreudvikle under behørig iagttagelse af gældende sikkerhedsregler. Selvbetjeningskonceptet forudses at blive standard blandt flyselskaberne for størstedelen af de rejsende.
For at kunne leve op til EU’s sikkerhedskrav i et selvbetjeningsmiljø er SAS i gang med at undersøge betingelserne for at indføre en automatiseret løsning i form af biometrisk kontrol. SAS er i gang med at undersøge fingeraftryk som en biometrisk mulighed, da fingeraftryksgenkendelse er den ældste og mest udviklede form for biometrisk teknologi, og teknologien fungerer godt og tillige er den sekundære teknologi for fremtidens pas i overensstemmelse med ICAO’s anbefalinger for e-pas.
Den påtænkte løsning går ud på, at passagerne får aflæst deres fingeraftryk i forbindelse med check-in af bagage. En matematisk værdi af fingeraftrykket – en såkaldt template - lagres midlertidigt sammen med et bagagenummer (taskeidentitet) i en lokal database. Ved påstigning skal passageren på ny have deres fingeraftryk aflæst med henblik på verificering af, at det fingeraftryk, der blev aflæst ved indlevering af bagage, stemmer overens med det fingeraftryk, der er aflæst ved påstigning på flyet. Det er således ikke et spørgsmål om identifikation af, hvem fingeraftrykket tilhører. Gennem verificeringen kan SAS automatisk fastslå, at alt lastet bagage kan kobles til en specifik passager. Kan det indleverede bagage gennem verificering ikke matches med en passager, der er gået ombord på flyet, tages sådan bagage ud af lastrummet igen.
Den matematiske værdi af fingeraftrykket lagres ifølge det oplyste således kun i en begrænset periode. Så snart passageren har passeret kontrollen for påstigning (enten ved tælleapparater eller kortlæsere), slettes den matematiske værdi af fingeraftrykket automatisk. Normalt opbevares den matematiske værdi af fingeraftrykket ikke længere end mellem 20-60 minutter. I forbindelse med transfer (skift af fly) lagres informationen, til den sidste påstigning i trafikkæden er gennemført, hvilket dog sjældent er et spørgsmål om mere end et par timer.
Adgangen til den lokale database med de matematiske værdier af fingeraftrykkene er begrænset til kun at omhandle de personer, som er ansat til at overvåge systemet.
Passagerne vil blive informeret om formålet med afgivelsen af fingeraftrykket, hvor længe informationen vil blive opbevaret, hvem der har adgang til oplysningerne sammen med eventuel anden relevant information.
For de passagerer, der ikke ønsker at få aflæst deres fingeraftryk, findes der en mulighed for manuel ID kontrol i forbindelse med bagageindlevering og påstigning på samme måde som ved udenrigsdestinationer.
SAS oplyser desuden, at det er selskabets vurdering, at den beskrevne lagring af den matematiske værdi af fingeraftrykket ikke udgør en unødig indtrængen i passagerens integritet. Den information, som indsamles er adækvat og relevant for en sikker kontrol af, at der ikke tjekkes uvedkommende bagage ind. SAS peger desuden på, at lagringen sker som et led i bekæmpelsen af den alt mere udbredte terrorisme, som særligt flytransport er genstand for.
Den information, der registreres, er efter selskabets opfattelse ikke mere omfattende end nødvendigt til verificering af bagagen. Informationen lagres endvidere kun i et meget begrænset tidsrum. Passagerne vil blive tydeligt informeret om lagringen, og dennes samtykke bør betragtes som afgivet ved, at personen efter at have modtaget information accepterer at få sit fingeraftryk aflæst.
SAS har endvidere gjort gældende, at den interesse, SAS varetager i form af en sikker identificering af bagage, vejer tungere end den integritetskrænkelse, det kan indebære for passageren at afgive sit fingeraftryk i et begrænset tidsrum.
Datatilsynet skal – efter sagen har været behandlet på et møde i Datarådet – udtale følgende:
1. Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. § 1, stk. 2.
Ved personoplysninger forstås ifølge lovens § 3, stk. 1, enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).
Begrebet behandling omfatter ifølge lovens § 3, nr. 2, enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Ifølge lovens forarbejder omfatter dette eksempelvis indsamling, opbevaring, brug og videregivelse.
Det er Datatilsynets opfattelse, at der såvel i forbindelse med indsamling (indrollering) af aftrykket af passagerens fingeraftryk, som ved den efterfølgende brug (matchning) af templaten af aftrykket i forbindelse med den biometriske løsning, er tale om behandlinger af personoplysninger omfattet af persondataloven.
2. Et fingeraftryk eller en matematisk værdi af et fingeraftryk – en såkaldt template – må efter Datatilsynets opfattelse anses for en almindelig ikke-følsom oplysning omfattet af persondatalovens § 6.
Behandling af almindelige ikke-følsomme oplysninger skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandlingen kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1.
SAS’ behandling af oplysninger om passagernes fingeraftryk vil efter det af oplyste ske på grundlag af samtykke.
Datatilsynet skal i den forbindelse henlede opmærksomheden på, at de nærmere krav til samtykket er indeholdt i lovens § 3, nr. 8, hvoraf det fremgår, at den registreredes samtykke er enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv gøres til genstand for behandling.
I kravet om et specifikt samtykke ligger, at samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilket formål behandlingen kan ske.
I kravet om, at samtykket skal være informeret, ligger, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Det er den dataansvarlige, der må sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykket bør meddeles.
Det er Datatilsynets vurdering, at SAS i forbindelse med passagernes check-in af bagage, kan opbevare (behandle) en template af passagerens fingeraftryk, hvis kunden i overensstemmelse med den skitserede procedure har givet sit udtrykkelige samtykke hertil, jf. persondatalovens § 6, stk. 1, nr. 1.
3. Herudover indeholder persondataloven i § 5 grundlæggende principper for den dataansvarliges behandling af oplysninger, som altid skal iagttages. Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig.
Af lovens § 5, stk. 2, fremgår, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Ifølge lovens § 5, stk. 3, skal oplysninger, der behandles, være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil de senere behandles.
På baggrund af det, som er oplyst til sagen, er det Datatilsynets opfattelse, at den behandling SAS foretager af oplysninger om passagernes fingeraftryk ikke er i strid med sagligheds- og proportionalitetsprincippet, jf. § 5, stk. 2 og 3.
Datatilsynet har herved lagt vægt på, at der alene er tale om opbevaring (behandling) af en matematisk værdi af passagernes fingeraftryk (en såkaldt template) i en kortere periode, og at templaten ikke vil blive sammenstillet med andre identifikationsoplysninger om passageren - der vil således ikke ske en egentlig identificering af den enkelte person ud over behandlingen af dennes template.
Datatilsynet har endvidere lagt vægt på, at passagerer, der ikke ønsker at få sit fingeraftryk aflæst, har mulighed for at benytte en alternativ løsning - i form af manuel ID kontrol i forbindelse med bagageindlevering og påstigning.
4. I persondatalovens afsnit III kapitel 8, 9 og 10 er reglerne om registreredes rettigheder beskrevet.
Den dataansvarliges pligt til at give meddelelse følger af lovens § 28 og indebærer, at ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant ifølge persondatalovens § 28, stk. 1, give den registrerede meddelelse om følgende:
- Den dataansvarliges og dennes repræsentants identitet.
- Formålene med den behandling, hvortil oplysningerne er bestemt.
- Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:
a) Kategorierne af modtagere.
b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare.
c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Ifølge § 28, stk. 2, gælder bestemmelsen i stk. 1 ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.
Datatilsynet har noteret sig, at SAS, i forbindelse med indsamlingen af passagerens biometriske oplysninger, vil informere passagerne om formålet hermed, hvor længe informationen vil blive opbevaret, hvem der har adgang til oplysningerne sammen med eventuel anden relevant information.
5. Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Pligten til at træffe de fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
I den forbindelse er det efter Datatilsynets opfattelse en forudsætning for, at den beskrevne behandling af biometriske oplysninger om passagerer kan betragtes som forenelig med persondataloven, at SAS træffer fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af oplysningerne.
6. Sammenfattende er det således Datatilsynets vurdering, at behandling af oplysninger om passagernes fingeraftryk, som det er beskrevet ovenfor, kan finde sted inden for rammerne af persondatalovens regler.