Journalnummer: 2014-632-0081
Datatilsynet vender hermed tilbage til ovennævnte sag, som tilsynet tog op af egen drift i anledning af, at tilsynet via borgerhenvendelser var blevet gjort opmærksom på, at Blodbanken på Rigshospitalet registrerer bloddonorers fingeraftryk.
Region Hovedstaden har udtalt sig til sagen ved breve af 29. april 2014 og 20. oktober 2016.
Datatilsynet har nu vurderet de spørgsmål, som sagen rejser, og det er – efter forelæggelse for Datarådet – tilsynets opfattelse,
- at Region Hovedstaden inden for rammerne af persondataloven kan gøre brug af en biometrisk løsning med henblik på at kunne foretage en entydig identifikation af bloddonorer, men
- at Region Hovedstadens behandling af oplysninger om bloddonorer i form af billeder af deres fingertryk ikke lever op til de krav til proportionalitet, der bl.a. følger af persondatalovens § 5, stk. 3, og
- at Region Hovedstaden ikke ses at have godtgjort, at en generel slettefrist på 30 år lever op til kravet til proportionalitet i persondatalovens § 5, stk. 5.
Nedenfor følger en gennemgang af sagen og en nærmere redegørelse for baggrunden for Datatilsynets konklusioner.
1. Sagsfremstilling
Region Hovedstaden har oplyst, at regionen anvender fingeraftryksidentifikation for at sikre, at bloddonoren rent faktisk er den, som systemet og blodbankspersonalet forventer, så donoren ikke forveksles med en anden person. Regionen har i den forbindelse forklaret, at et sjældent – men dog tilbagevendende – problem er potentielt livsfarlige forbytninger af blodportioner, hvor donor A’s blod tappes i donor B’s blodpose. Region Hovedstadens tidligere kontrolsystem byggede ifølge regionen på, at donoren i forbindelse med tapningen blev udspurgt om sin identitet af to personalemedlemmer.
Endvidere har Region Hovedstaden oplyst, at alle donorer skal afgive fingeraftryk fra to forskellige valgfri fingre. Oplysningerne lagres elektronisk i systemet ”Blodflödet” i form af billeder (bitmap-filer) sammen med donors cpr-nummer. Ved validering bliver donor bedt om at indlæse en af de to fingre, der tidligere er blevet registreret i Blodflödet. Er der match med et af de registrerede fingeraftryk, godkendes donor, og tappeproceduren kan fortsætte.
Ifølge Region Hovedstaden opbevares de omhandlede billeder af donorers fingeraftryk i 30 år. Regionen har henvist til, at det følger af §§ 8 og 10 i bekendtgørelse om kvalitets- og sikkerhedskrav til bloddonorvirksomhed1, at blodbanker skal opbevare data vedrørende sporbarhed i mindst 30 år.
Af bekendtgørelsens § 8 følger, at et blodcenter/-bank/-depot bl.a. skal registrere og opbevare oplysninger om identifikation af bloddonor. Bekendtgørelsens § 10 fastsætter, at data vedrørende sporbarhed skal opbevares i mindst 30 år.
Region Hovedstaden har endvidere peget på, at det i bekendtgørelsens bilag 1 er understreget, at det er blodbankens ansvar at sikre, at donors identitet kan kontrolleres. Af punkt 6.2. i bekendtgørelsens bilag 1, fremgår, at proceduren for blodtapning skal foregå således, at donors identitet kan kontrolleres og på en sikker måde registreres, og forbindelsen mellem donor, blod, blodkomponenter og blodprøver klart kan fastslås.
Herudover har Region Hovedstaden oplyst, at det er frivilligt for bloddonoren at afgive blod, men at det ikke er frivilligt for donoren at afgive sit fingeraftryk i forbindelse med tapningen. Der indhentes ikke et udtrykkeligt samtykke til afgivelse af fingeraftrykket, men ifølge regionen har bloddonoren mulighed for at få sit fingeraftryk slettet i systemet, hvis dette ønskes.
Region Hovedstaden har henvist til manglende finansiering som begrundelse for ikke at anvende matematiske værdier (templates) i stedet for billeder.
Det er Regionen Hovedstadens opfattelse, at den pågældende behandling af fingeraftryk følger af en retlig forpligtelse, jf. persondatalovens § 6, stk. 1, nr. 3. Endvidere er det regionens opfattelse, at oplysninger om en bloddonors identitet er en helbredsoplysning omfattet af persondatalovens § 7, og at hjemlen til behandlingen af oplysninger om donorers fingeraftryk kan findes i persondatalovens § 7, stk. 5, om behandling med henblik på sygepleje eller patientbehandling mv.
Endelig har regionen oplyst, at de øvrige fire regioner i Danmark har indført et tilsvarende system, og at ingen bloddonorer i Danmark således kan afgive blod uden også at afgive sit fingeraftryk.
2. Datatilsynets praksis
Datatilsynet har i forskellige sammenhænge udtalt sig om behandling af biometriske oplysninger, herunder fingeraftryk.
I sagen om Bornholmerkortet2 fandt Datatilsynet, at matematiske værdier beregnet på baggrund af kundernes fingeraftryk (templates) kunne registreres med hjemmel i persondatalovens § 6, stk. 1, nr. 1, 2 og 7, i forbindelse med udstedelse af rabatkortet ”Bornholmerkortet”. Datatilsynet lagde vægt på, at kunden frivilligt kunne vælge at benytte rabatkortet, samt at den udregnede værdi af fingeraftrykket alene blev opbevaret på kundens eget kort, og hverken værdien eller fingeraftrykket blev opbevaret eller lagret andre steder.
Tilsynets sag om et motionscenters anvendelse af biometri3 drejede sig om et motionscenters adgangssystem, hvor medlemmer ved indgangen til centeret skulle have aflæst sit fingeraftryk på en scanner, der udregnede en matchværdi, som efterfølgende skulle holdes op mod centerets medlemsdatabase. Oplysningerne ville blive behandlet med medlemmets samtykke og slettet, når et medlemskab ophørte.
Datatilsynet vurderede, at den beskrevne behandling ikke kunne ske inden for rammerne af persondatalovens regler. Datatilsynet lagde herved vægt på, at formålet med behandlingen ikke syntes at stå mål med, hvor indgribende en behandling der var tale om. Hensynet til at etablere en adgangskontrol i et motionscenter uden brug af kort kunne efter tilsynets umiddelbare opfattelse ikke retfærdiggøre behandlingen af matchværdier i en central database. Det var således Datatilsynets vurdering, at det ønskede formål kunne forfølges med mindre indgribende midler.
En anden sag4 vedrørte registrering af ansattes fingeraftryk i forbindelse med pengehåndtering. Oplysningerne skulle endvidere videregives til en af virksomhedens kunder. Datatilsynet fandt, at behandlingen kunne ske med hjemmel i persondatalovens § 6, stk. 1, nr. 7. Datatilsynet lagde bl.a. vægt på, at der var tale om adgangskontrol til områder, hvor der blev opbevaret store værdier, samt at det også var i den ansattes interesse, at risikoen for misbrug af dennes identitet så vidt muligt blev nedbragt. Tilsynet lagde endvidere vægt på, at der alene var tale om behandling af en værdi (template) af den ansattes fingeraftryk.
I sagen om anvendelse af biometri i sundhedsvæsenet5 var der ønske om at anvende biometriske smart cards til patienter, der led af Parkinsons syge. Der var tale om et smart card med integreret fingeraftryksscanner, hvor registrering og autentificering fandt sted uden, at data forlod kortet.
Det var Datatilsynets opfattelse, at en løsning inden for det danske sundhedsvæsen måtte tage udgangspunkt i de eventuelle krav, de danske sundhedsmyndigheder måtte have til en sådan løsning. Eftersom disse myndigheder ikke var involveret, havde Datatilsynet ikke mulighed for at foretage en vurdering af løsningen på området.
For så vidt angår valget mellem løsninger, hvor der sker en lagring af biometriske oplysninger i henholdsvis en database eller på et smart card, bemærkede Datatilsynet, at løsninger på et smart card, set i lyset af hensynet til beskyttelse af personoplysninger, ofte vil være at foretrække, da den registrerede i sådanne tilfælde har oplysningerne i sin varetægt. Der kan imidlertid også foreligge tilfælde, hvor der er et sagligt behov for behandling af oplysninger i en database, og hvor hensynet til de registrerede ikke overstiger hensynet til den dataansvarliges interesse heri.
Datatilsynets sag om anvendelse af biometri ved indcheckning af bagage6 omhandlede en løsning, hvor flypassagerer skulle have aflæst deres fingeraftryk i forbindelse med check-in af bagage. Den matematiske værdi af fingeraftrykket (template) skulle lagres midlertidigt i en lokal database sammen med et bagagenummer (taskeidentitet).
Datatilsynet fandt, at behandlingen kunne ske med passagerens udtrykkelige samtykke, jf. persondatalovens § 6, stk. 1, nr. 1. Det var endvidere Datatilsynets opfattelse, at behandlingen var i overensstemmelse med sagligheds- og proportionalitetsprincippet i persondatalovens § 5, stk. 2 og 3.
Tilsynet lagde herved vægt på, at der alene var tale om behandling af en matematisk værdi af passagerernes fingeraftryk i en kortere periode, og at templaten ikke ville blive sammenstillet med andre identifikationsoplysninger. Der ville således ikke ske en egentlig identificering af den enkelte passager ud over behandlingen af dennes template. Tilsynet lagde endvidere vægt på, at passagerer, der ikke ønskede at få deres fingeraftryk aflæst, havde mulighed for at benytte en alternativ løsning i form af manuel ID-kontrol i forbindelse med bagageindlevering og påstigning.
En sag7 drejede sig om et diskoteks adgangskontrol, som bl.a. indebar registrering af gæsternes fingeraftryk i form af en matematisk beregnet værdi (template) i en intern database. Datatilsynet udtalte, at ønsket om at lave en ensartet kontrol af gæsterne inden for en afgrænset periode og at undgå kø uden for diskoteket udgør saglige formål. Efter tilsynets opfattelse ville den påtænkte behandling af oplysninger om fingeraftryk (template) således kunne ske inden for persondatalovens rammer, hvis behandlingen baserede sig på et udtrykkeligt samtykke, der levede op til persondatalovens krav.
I Datatilsynets sag om tidsregistrering af aktiverede borgere8 ønskede en kommune at anvende fingeraftryk til tidsregistrering af aktiverede borgere. Systemet indebar, at alle aktiverede borgere skulle registrere deres møde- og sluttid med fingeraftryk. Oplysningerne blev lagret i en database i krypteret form.
Datatilsynet fandt, at behandlingen var nødvendig af hensyn til udførelsen af kommunens opgaver, hvorfor den kunne ske med hjemmel i persondatalovens § 6, stk. 1, nr. 6. Tilsynet lagde bl.a. vægt på, at der alene registreres en matematisk værdi af borgerens fingeraftryk.
3. Datatilsynets vurdering
3.1. Det retlige grundlag
Datatilsynet lægger til grund, at behandling af personhenførbare biometriske oplysninger som udgangspunkt skal vurderes i forhold til persondatalovens § 6, der regulerer behandling af ikke-følsomme oplysninger.
Da Region Hovedstaden har oplyst, at registreringen af fingeraftryk ikke sker på grundlag af den registreredes samtykke, skal behandlingen som udgangspunkt vurderes efter persondatalovens § 6, stk. 1, nr. 2-7. I det omfang et fingeraftryk i sig selv måtte afsløre følsomme oplysninger om en donor, vil behandlingen dog efter omstændighederne skulle have hjemmel i lovens § 7. Behandling kan herefter ske, hvis den er nødvendig af hensyn til de interesser, som de enkelte bestemmelser omhandler.
Herudover følger det af persondatalovens § 5, stk. 3, at oplysninger, der behandles, skal være relevante og tilstrækkelige og ikke må omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil de senere behandles.
Efter lovens § 5, stk. 5, må indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Denne regel skal bidrage til at sikre mod unødvendig dataophobning, der i sagens natur principielt altid indebærer en forøget risiko for krænkelse af den registrerede – f.eks. ved at oplysningerne kommer uvedkommende i hænde.
De nævnte bestemmelser udtrykker persondatalovens grundlæggende krav om proportionalitet. Behandling af personoplysninger må således ikke gå videre – hverken i omfang eller varighed – end hvad der kræves til opfyldelse af de formål, som den dataansvarlige er berettiget til at forfølge. I den forbindelse må det forudsættes, at jo mere indgribende en behandling der er tale om, desto større krav må der stilles til nødvendigheden af, at behandlingen finder sted.
3.2. Behandlingens omfang
Det er Datatilsynets opfattelse, at Region Hovedstaden inden for rammerne af persondataloven kan gøre brug af en biometrisk løsning med henblik på at kunne foretage en entydig identifikation af bloddonorer. Datatilsynet lægger herved vægt på det oplyste om, at personforveksling i denne sammenhæng kan have meget alvorlige og potentielt fatale konsekvenser for modtagere af blodet. Endvidere har Datatilsynet, jf. gennemgangen af praksis ovenfor under afsnit 2, ved flere lejligheder accepteret behandling af biometriske oplysninger.
Den foreliggende situation adskiller sig imidlertid fra Datatilsynets hidtidige praksis, idet Region Hovedstaden registrerer billeder af donorernes fingeraftryk og ikke kun matematiske værdier udregnet på baggrund heraf – de såkaldte templates. Som det fremgår ovenfor, har Datatilsynet i andre sager om fingeraftryksløsninger netop lagt vægt på, at registreringen alene omfattede en sådan værdi og ikke oplysninger om det komplette fingeraftryk.
Det bemærkes herved, at den matematiske værdi, der registreres i en template-løsning, afhænger af den algoritme der anvendes. Den matematiske værdi hos én dataansvarlig vil altså ikke nødvendigvis være den samme, som registreres på baggrund af det samme fingeraftryk hos en anden dataansvarlig. Hvis der anvendes forskellige og unikke algoritmer, er mulighederne for at kunne samkøre to databaser og eventuelt anvende oplysningerne til uretmæssige eller uforenelige formål således begrænsede.
Billeder af fingeraftryk udgør derimod de biometriske ”rådata”, som vil kunne samkøres med fingeraftryksbaserede oplysninger i andre databaser. Endvidere medfører behandling i form af et komplet billede af et fingeraftryk, at aftrykket kan reproduceres og anvendes i andre og uvedkommende sammenhænge, f.eks. med henblik på uretmæssigt at opnå adgang til oplysninger i andre systemer, hvor adgangskontrollen er baseret på validering af fingeraftryk. Risikoen for misbrug forøges efter Datatilsynets opfattelse markant, når billederne lagres sammen med den registreredes personnummer, som det efter det oplyste er tilfældet i Region Hovedstaden.
Det skal i denne forbindelse også bemærkes, at fingeraftryksløsninger anvendes i stadig større udstrækning, f.eks. som adgangskontrol i smart phones og (andre) betalingsløsninger. Da fingeraftryk ikke kan ændres, vil en utilsigtet eksponering eller misbrug af oplysninger om komplette fingeraftryk derfor efter Datatilsynets opfattelse være stadig mere problematisk.
På denne baggrund er det Datatilsynets vurdering, at den valgte løsning er betydeligt mere indgribende over for den registrerede, end hvad der kræves til opfyldelse af formålet, og at behandlingen derfor ikke lever op til de krav til proportionalitet, der bl.a. følger af persondatalovens § 5, stk. 3.
3.3. Behandlingens varighed
Region Hovedstaden har oplyst, at de biometriske oplysninger om donorerne gemmes i en central database i 30 år. Regionen har herved henvist til, at regionen efter bekendtgørelse om kvalitets- og sikkerhedskrav til bloddonorvirksomhed er forpligtet til at opbevare donorernes identitetsoplysninger med henblik på at opfylde kravet om, at data vedrørende sporbarhed skal opbevares i mindst 30 år. En bloddonor har dog ifølge regionen mulighed for at få sine fingeraftryk slettet i systemet, hvis dette ønskes.
Datatilsynet har imidlertid ikke fundet holdepunkter for at antage, at de bestemmelser i bekendtgørelsen, som Region Hovedstaden har henvist til, forpligter regionen til at opbevare de biometriske oplysninger om donorer i mindst 30 år. Datatilsynet finder det således ikke godtgjort, at en generel slettefrist på 30 år lever op til kravet i persondatalovens § 5, stk. 5, hvorefter indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det bemærkes herved, at formålet med behandlingen af de biometriske oplysninger ifølge regionen er at sikre, at rette blod kommer i rette pose, hvilket sker på baggrund af validering af donors identitet ud fra dennes fingeraftryk umiddelbart forud for tapningen. Bekendtgørelsens krav til sporbarhed synes derimod at vedrøre forbindelsen mellem donor, blod, blodkomponenter og blodprøver og forudsætter efter Datatilsynets forståelse ikke behandling af biometriske oplysninger om de pågældende donorer. Hertil kommer, at en sådan opbevaringspligt i forhold til de biometriske oplysninger synes at stemme dårligt overens med regionens forklaring om, at donorer kan få slettet oplysningerne på anmodning.
3.4. Databeskyttelsesforordningen
Biometriske data, der behandles med det formål entydigt at identificere en fysisk person, vil fra den 25. maj 2018, hvor databeskyttelsesforordningen9 finder anvendelse, være omfattet af de særlige kategorier af oplysninger (følsomme oplysninger) i databeskyttelsesforordningens artikel 9, stk. 1.
Det følger af forordningens artikel 9, stk. 2, litra h, at fagpersoner, der er underlagt tavshedspligt, kan behandle sådanne oplysninger, hvis behandlingen er nødvendig med henblik på bl.a. medicinsk diagnose, ydelse af sundhedsbehandling eller forvaltning af social- og sundhedsomsorg og -tjenester. Det er Datatilsynets umiddelbare vurdering, at bestemmelsen med enkelte tilføjelser viderefører gældende ret efter persondatalovens § 7, stk. 5.
Datatilsynet lægger herefter til grund, at offentlige myndigheder, der i dag behandler oplysninger med hjemmel i persondatalovens § 7, stk. 5, som udgangspunkt vil have grundlag for at foretage tilsvarende behandling i forordningens artikel 9, stk. 2, litra h. Det bemærkes herved, at Region Hovedstaden bl.a. har angivet persondatalovens § 7, stk. 5, som hjemmel til den behandling af oplysninger om donorers fingeraftryk, som sagen omhandler.
Det fremgår endvidere af databeskyttelsesforordningens præambelbetragtning nr. 39, at personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde.
I overensstemmelse hermed er det fastsat i forordningens artikel 5, stk. 1, litra c, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (dataminimering). Det er videre fastsat i artikel 5, stk. 1, litra e, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (opbevaringsbegrænsning).
Da ordlyden af de nævnte bestemmelser i forordningens artikel 5 om dataminimering og opbevaringsbegrænsning er stort set identisk med ordlyden af de tilsvarende bestemmelser i persondatalovens § 5, stk. 3 og 5, må det antages, at der ikke er tiltænkt en ændring i forhold til persondataloven.
På denne baggrund er det Datatilsynets opfattelse, at de vurderinger af regionens behandling af oplysninger om bloddonorers fingeraftryk, som i nærværende udtalelse er foretaget i forhold til persondataloven, fortsat vil være aktuelle efter den 25. maj 2018, hvor databeskyttelsesforordningen finder anvendelse.
4. Sammenfatning og opfølgning
Sammenfattende er det Datatilsynets opfattelse,
- at Region Hovedstaden inden for rammerne af persondataloven kan gøre brug af en biometrisk løsning med henblik på at kunne foretage en entydig identifikation af bloddonorer, men
- at Region Hovedstadens behandling af oplysninger om bloddonorer i form af billeder af deres fingertryk ikke lever op til de krav til proportionalitet, der bl.a. følger af persondatalovens § 5, stk. 3, og
- at Region Hovedstaden ikke ses at have godtgjort, at en generel slettefrist på 30 år lever op til kravet til proportionalitet i persondatalovens § 5, stk. 5.
Datatilsynet anmoder Region Hovedstaden om at redegøre nærmere for, hvad dette giver regionen anledning til at foretage.
Regionens redegørelse bedes være modtaget i Datatilsynet inden 5 uger fra dags dato.
Kopi af dette brev er sendt til de øvrige regioner til orientering. Endvidere påtænker Datatilsynet at offentliggøre brevet på sin hjemmeside.
____________________________
1 Bekendtgørelse nr. 1230 af 8. december 2005
2 J.nr. 2003-212-0143 – udtalelsen er tilgængelig på Datatilsynets hjemmeside
3 J.nr. 2004-219-0208 – udtalelsen er tilgængelig på Datatilsynets hjemmeside
4 J.nr. 2005-219-0351
5 J.nr. 2005-219-0295 – udtalelsen er tilgængelig på Datatilsynets hjemmeside
6 J.nr. 2006-219-0370 – udtalelsen er tilgængelig på Datatilsynets hjemmeside
7 J.nr. 2008-42-0742 – udtalelsen er tilgængelig på Datatilsynets hjemmeside
8 J.nr. 2010-323-0140 – udtalelsen er tilgængelig på Datatilsynets hjemmeside
9 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF