Adgangskontrol ved brug af ansigtsgenkendelse

Publiceret 25-06-2009
Historisk afgørelse Private virksomheder

Journalnummer: 2009-082-0087

1. Sagsfremstilling

1.1. Henvendelse fra Logica og Tivoli

Logica Danmark (herefter Logica) anmodede i januar 2009 Datatilsynet om et møde med henblik på at drøfte et nyudviklet system, der på baggrund af ansigtsgenkendelse kan foretage adgangskontrol. Systemet skulle efter det oplyste bruges i den kommende sæson for Tivoli A/S (herefter Tivoli).

På mødet, der blev afholdt den 4. februar 2009 med deltagelse af repræsentanter for Logica, Tivoli og Datatilsynet, understregede tilsynets repræsentanter, at det ved iværksættelse af et nyt system, der som det påtænkte indebærer behandling af personoplysninger, er den dataansvarlige virksomhed, der har ansvaret for, at systemet opbygges og indrettes, således at persondataloven iagttages.

Datatilsynet anmodede om en redegørelse om en række forhold, hvis tilsynet skulle fremkomme med en udtalelse. Tivoli og Logica ville herefter overveje, hvorledes systemet og behandlingen af personoplysninger, som systemet medfører, er i overensstemmelse med persondataloven, og kontakte Datatilsynet igen.

Ved e-post af 16. april 2009 har Logica anmodet Datatilsynet om en udtalelse i forbindelse med det ovenfor nævnte ansigtsgenkendelsessystem, kaldet FaceVault, og behandlingen af personoplysninger i forbindelse med anvendelse af dette i Tivoli.

1.2. Den påtænkte løsning

Tivoli påtænker at opstille systemet i indgangspartiet til restaurant Wagamama. Det er planen, at der i 2010 vil være 12 indgange til Tivoli i form af restauranter, og at alle disse skal være forsynet med den nævnte løsning, så det så vidt muligt sikres, at kun personer med retmæssig adgang kan komme ind i Tivoli fra restauranterne.

Systemet FaceVault er udviklet af Logica og skal anvendes af Tivoli som dataansvarlig.

FaceVault indebærer adgangskontrol ved brug af ansigtsgenkendelse. Løsningen blev testet i efterårsferien 2008 i Tivoli som et pilotprojekt. Tivoli og Logica afventer Datatilsynets udtalelse, førend systemet tages endeligt i brug.

Løsningen går ud på, at når en gæst er gået fra Tivoli og ind i restaurant Wagamama og venter på at få tildelt et bord, vil strategisk placerede videokameraer optage billeder af gæsten. Disse videooptagelser konverteres automatisk til en serie af fotos af vedkommende. Ud fra disse billeder beregnes en matematisk værdi. Billederne og den matematiske værdi lagres.

Når gæsten går fra restauranten og tilbage ind i Tivoli, optager en række andre strategisk placerede videokameraer tilsvarende fotos af gæstens ansigt, og der beregnes igen en matematisk værdi ud fra en serie fotos. En computer sammenligner herefter værdierne. Hvis der er et match, får gæsten lov til at returnere til Tivoli, og gæstens billeder slettes derefter automatisk fra databasen.

Hvis der ikke er et match, bliver gæsten nægtet adgang af systemet. En simpel tekst på informationsskærmen ved udgangen til Tivoli beder gæsten om at kontakte restaurantens personale. Det er oplyst, at der er tale om en diskret besked til gæsten. Herudover er det efter det oplyste endnu uafklaret, hvorledes udgangspartiet sættes op, så der kan ikke siges noget nærmere om, hvorvidt vedkommende møder en låst dør eller lignende, såfremt der ikke er et match.

Hvis en gæst ikke bliver genkendt, skal vedkommende således efter det oplyste henvende sig til personalet i restauranten. Det er endvidere oplyst, at i tilfælde af tvivl, vil tvivlen komme gæsten til gode.

Det er anført, at den anvendte løsning ikke er meget anderledes end de tyverialarmer, som er installeret i supermarkeder og lignede for at forhindre butikstyveri osv., bortset fra, at der ikke benyttes forstyrrende alarmer i denne løsning, som derfor må siges at være mindre krænkende over for gæsten.

Logica har endvidere oplyst, at de omtalte videokameraer er aktive i hele restaurantens åbningstid.

Den matematiske værdi beregnes ud fra øjnenes placering samt 2-dimensionelle billeder af hele ansigtet. Der dannes herved et unikt nummer, som er den værdi, der bruges til identifikation. Selve lagringen af billederne og den matematiske værdi af øjnenes placering sker i en krypteret og lukket database placeret i Tivoli.

Efter det oplyste vil løsningen fungere som et lukket kredsløb/blackbox, og det er designet således, at man ikke kan tilgå eller foretage ændringer i systemet inden for den tidsramme, hvor gæsterne registreres, hvilket i praksis vil sige i restaurant Wagamamas åbningstid. Hvis serverne genstartes ved at benytte tænd/sluk knappen på serverne, medfører dette, at systemet automatisk sletter hele databasen og starter forfra. Samme funktion udføres af løsningen, når restauranten lukker, hvorved databasen dagligt nulstilles.

Når medarbejderne i restauranten får henvendelser fra personer, der ikke kan komme ind i Tivoli, vil de ikke have adgang til at se på billederne i systemet. Efter det oplyste vil afgørelsen af, om der skal gives adgang, således blive truffet ud fra gæsternes egen forklaring.

1.3. Tivoli og Logicas bemærkninger om løsningens overensstemmelse med persondataloven

Det er vurderet, at løsningen er nødvendig for, at Tivoli kan forfølge en berettiget interesse i forhold til at undgå snyd. [ udeladt tekst ]

I dag anvendes et stempel, som vagterne eller personalet i restauranten giver hver gæst, når de besøger en restaurant. Ulempen ved denne løsning er, at stemplet er let at forfalske, stemplet kan smitte af på tøj med erstatningskrav til følge, stemplet kan vaskes af i forbindelse med vask af hænder efter toiletbesøg, og et stempel ødelægger den eksklusive oplevelse, som Tivoli gerne vil give deres gæster.

Tivoli og Logica har overvejet andre former for biometriske løsninger, såsom fingeraftryk eller RFID, men vurderet, at dette ville være mere krænkende for den enkelte gæst.

I henvendelsen er det endvidere anført, at Logica mener, at bestemmelser, der omhandler tv-overvågning, kan bruges som hjemmel for denne løsning, da løsningen i bund og grund fungerer på samme måde, og da den har en sikkerhedsmæssig funktion.

Vedrørende persondatalovens § 29 er det oplyst, at der vil blive skiltet med, at der foretages tv-overvågning af restaurantens indgange, der vender ud mod Tivoli. Der foretages ikke tv-overvågning af restauranten indenfor eller af de indgange, der vender ud mod gaden. Der er endvidere udarbejdet en lille brochure, som gæsten kan læse, når vedkommende sidder ved bordet. Informationsskrivelsen vil blive affattet på engelsk og dansk.

2. Datatilsynet skal - efter at sagen har været behandlet på et møde i Datarådet - afgive følgende vejledende udtalelse:

2.1. Hvilke behandlinger af personoplysninger foretages der og med hvilken hjemmel?

Den nævnte løsning indebærer efter Datatilsynets opfattelse flere behandlinger af personoplysninger: dels de billeder, som videokameraerne optager, dels omdannelsen af disse til matematiske værdier og den efterfølgende matchning af disse.

Datatilsynet lægger til grund, at den omhandlede videooptagelse er omfattet af tv-overvågningslovens definition af tv-overvågning. Da overvågningen foregår inde i en restaurant, er den ikke omfattet af tv-overvågningslovens forbud om overvågning af gade, vej, plads eller lignende område, som benyttes til almindelig færdsel. Persondatalovens regler om bl.a. saglighed og proportionalitet skal imidlertid altid være opfyldt.

Behandlingen går efter Datatilsynets opfattelse videre end almindelig tv-overvågning. Der sker således også en bearbejdning og et match med tidligere - eller fremtidige - registreringer. Datatilsynet er således ikke enig med Logica og Tivoli i, at løsningen i relation til behandlingshjemmel kan ligestilles med tv-overvågning. Det forhold, at en restaurant afhængigt af omstændighederne kan være berettiget til at foretage tv-overvågning, har således ikke samtidigt den konsekvens, at restauranten tillige er berettiget til at foretage de videregående behandlinger, som den omhandlede løsning indebærer.

Tv-overvågningen og de efterfølgende behandlinger sker med henblik på at kontrollere, at den pågældende gæst har ret til at returnere til Tivoli. Efter Datatilsynets opfattelse er der tale om en række sammenhængende behandlinger af personoplysninger. Hvis matchningen af værdierne er i overensstemmelse med persondataloven, vil den forudgående behandling i form af optagelse og lagring af billederne samt konvertering til en værdi efter Datatilsynets opfattelse ligeledes være i overensstemmelse med persondataloven.

Løsningen benytter efter det oplyste kun afstanden mellem øjnene samt ansigtets form som identifikation. Andre personlige træk såsom race er ikke parametre, der anvendes i systemet. Efter Datatilsynets opfattelse er der tale om behandling af almindelige ikke følsomme oplysninger omfattet af persondatalovens § 6.

Hjemmelen til den ovenfor anførte behandling af personoplysninger skal herefter findes i persondatalovens § 6, stk. 1, nr. 1-7, samt § 5.

Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Persondatalovens § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling af personoplysninger, herunder krav om saglighed, proportionalitet og datakvalitet. Disse krav skal altid være opfyldt.

Der vil efter det oplyste ske behandling af personoplysninger af to grupper af personer. For det første behandles der oplysninger om de personer, der har været i Tivoli, før de går ind i restaurant Wagamama for derefter at returnere til Tivoli. Derudover vil der også blive behandlet oplysninger om de personer, der kommer fra gaden og går ind i restauranten. Sidstnævnte gruppe vil blive udsat for den nævnte behandling af personoplysninger, hvis de forsøger - enten bevidst eller af uvidenhed - at gå ind i Tivoli.

I sagens natur kan der ikke opnås et samtykke fra de to typer af personer ved den ovennævnte løsning, da dette ville kræve tilstedeværelse af vagter eller andet personale, hvilket strider mod formålet med løsningen.

2.2. Tivolis gæster

Datatilsynet lægger ved vurderingen af løsningen vægt på, at løsningen både er tænkt som en serviceforbedring og som en adgangskontrol, at løsningen må forventes at reducere antallet af gæster, der snyder, samt at løsningen efter det oplyste vil spare Tivoli for betydelige omkostninger til vagter.

For så vidt angår Tivolis gæster, som får en nemmere mulighed for at forlade haven og gå ind i restauranten og derefter returnere til haven, er det Datatilsynets opfattelse, at interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7, vil kunne anses for opfyldt, under forudsætning af:

  • at teknologien er tilstrækkelig præcis (moden), så det undgås, at personer, der er kommet fra Tivoli og er blevet registreret, uberettiget afvises, fordi de ikke er blevet korrekt genkendt af systemet (falsk negative resultater), jf. persondatalovens § 5, stk. 4, om datakvalitet,
  • at der ved udgangen fra Tivoli til restauranten findes tydelige skilte med oplysninger om den anvendte løsning på flere sprog, samt
  • at billeder og værdier af en person, som er gået fra Tivoli til restauranten, slettes straks, personen er gået tilbage i Tivoli, og hvis ikke vedkommende går tilbage, senest ved dagens udgang.

2.3. Gæster på restauranten, der er kommet ind fra gaden

For så vidt angår de personer, der er kommet fra gaden og ind i restauranten, må det efter Datatilsynets opfattelse også tages i betragtning, at det ud fra det oplyste ikke kan udelukkes, at gæster uforvarende kommer til at befinde sig i videokameraernes dækningsområde og dermed får deres billeder optaget, matematiske værdier beregnet og matchet med registreringerne i databasen.

Datatilsynet lægger endvidere vægt på, at der ikke alene er tale om almindelig tv-overvågning, men om en nærmere beregning af forskellige værdier ud fra ansigter. De derved fremkomne unikke matematiske værdier sammenholdes herefter med samtlige registreringer i databasen for at finde eventuelle match.

I forhold til disse gæster er det Datatilsynets opfattelse, at den behandling af personoplysninger, der foretages i forbindelse med den omtalte løsning, ikke umiddelbart vil kunne ske inden for rammerne af persondatalovens § 6, stk. 1, nr. 7. Efter Datatilsynets opfattelse kan Tivolis interesse i at indføre løsningen således ikke umiddelbart anses for at overstige hensynet til de tilfældige personer, der blot er til stede i den del af en restaurant, hvor dette system er opsat.

Datatilsynet vurderer samtidig, at løsningen vil kunne accepteres inden for rammerne af persondataloven under forudsætning af:

  • at det ikke må være muligt at gå ind i det område i restauranten, hvor der optages billeder, uden at have mødt tydelige skilte med piktogrammer og informationer på flere sprog om, at man er på vej ind i Tivoli, og at ens ansigt nu vil blive skannet til kontrol af, at man har lovlig (betalt) adgang,
  • at billeder af gæster, der afvises i restauranten, og de matematiske værdier heraf ikke bliver lagret, og
  • at der er tilgængelig information for samtlige restaurantens gæster om, at det omhandlede system anvendes i en afgrænset del af restauranten. Sådan information skal eventuelt udleveres sammen med menukortet og bør endvidere suppleres med mundtlig information fra personalet efter behov.

Datatilsynet skal anmode om at få oplyst, om Logica og Tivoli vurderer, at disse forudsætninger vil kunne opfyldes.

Datatilsynet skal for god ordens skyld bemærke, at dette brev offentliggøres på tilsynets hjemmeside.