Datatilsynets referanse: 11/00954-4/MAB

PVN-2011-11 Visma Retail

Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri

Personvernnemndas avgjørelse av 16. mars 2012 (Eva I. E. Jarbekk, Arve Føyen, Tom Bolstad, Leikny Øgrim, Gisle Hannemyr, Jostein Halgunset, Ørnulf Rasmussen)

1 Innledning

Personvernemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri. Tilsynet har ikke formelt fattet et vedtak, men gitt veiledning eller råd hvoretter det fremkommer at Datatilsynets vurdering av den foreslåtte løsningen er negativ. Klager har bedt om at Personvernnemnda gjør en ny vurdering av løsningen. Datatilsynet har tillatt at klager får testet saken for Personvernnemnda.

2 Saksgang

Datatilsynet mottok 8.9.2011 en henvendelse fra Visma Retail AS vedrørende bruk av biometri (fingeravtrykk) for alderskontroll i selvbetjente butikker. Tilsynet ble bedt om å vurdere lovligheten av løsningen.

I brev av 19.9.2011 veiledet Datatilsynet at det ikke ville være i tråd med personopplysningslovens § 12 å bruke fingeravtrykk til det skisserte formålet, jf tilsynets praksis og Personvernnemndas avgjørelser.

I e-post av 19.10.2011 påklaget selskapet Datatilsynets vurdering til Personvernnemnda.

Saken ble oversendt Personvernnemnda 16.11.2011, som mottok saken samme dag. Klager ble orientert om dette i e-post fra nemnda datert 16.11.2011, med frist til uttalelse innen 2.12.2011. Klager har i et eget notat til nemnda, «Mekanismebeskrivelse for fingeravtrykksbasert alderskontroll i dagligvarebutikker», beskrevet løsningen i detalj. Klager har også vedlagt flytdiagram fra leverandøren for behandling av fingeravtrykk.

3 Faktum

Løsningen er ikke implementert ennå. Klager henvendte seg til Datatilsynet for å få en vurdering av en løsning for automatisert alderskontroll ved salg av aldersbegrensede varer i selvbetjente kasser i dagligvarebutikker. Bakgrunnen var at Visma Retail lanserte sammen med Bunnpris i juni Norges første fullstendig selvbetjente butikk på Blindern i Oslo. I det konseptet, som Bunnpris Blindern var første butikk ut med, er det kun selvbetjente kasser. Det finnes ingen kasser med betjening. Når det selges varer med aldersbegrensning i en slik butikk, varsles kunden om at alder må kontrolleres før man går til betaling og en varsellampe begynner å blinke på kassen for å alarmere de som betjener kasseområdet at de må bidra på denne kassen før handelen kan avsluttes. Operatør foretar da en visuell vurdering av vedkommende, og i tvilstilfeller fremvises også legitimasjon, før alderskontrollen hukes av som godkjent. Klager ønsker å effektivisere denne delen av selvbetjent handel, ved å tilby kundene at de registrerer fingeravtrykket sitt (en avledet representasjon av fingeravtrykket) gjennom en tilkoblet fingeravtrykksleser. Hvis de velger dette alternativet når varselet om alderskontroll kommer opp, venter systemet på operatør, som skanner ansattkortet sitt for å si fra til kassen at han er på stedet. Når operatør har kommet, ber kassen operatør om å taste inn kundens fødselsdato, innhentet gjennom kontroll av identitetskort. Fingeravtrykket avleses på sensoren, og så lagres kun fingeravtrykket og fødselsdatoen i databasen, ingen informasjon om hvem kunden er. Når kunden så kommer tilbake ved senere handler, holder det at kunden kan sveipe fingeravtrykket for at kassen skal vite at personen som handler er gammel nok til å kjøpe de varene som foreligger i handelen. Man lagrer altså ingen personinformasjon utover fødselsdato, og fingeravtrykket blir kun benyttet til å verifisere at personen som handler er gammel nok, verifisert gjennom operatørens kontroll ved registrering av kunden. Hver instans i databasen gis bare et løpenummer som ID, det benyttes ikke informasjon knyttet til personen. Klager ser for seg at lagring skal skje i database på kjedenivå, slik at kunden ikke må registrere avtrykket i hver butikk. Hvis det passer bedre for Datatilsynets vurdering, kan lagringen også skje kun lokalt i butikk. Kunden vil også gis mulighet til å slette registreringen igjen ved operatørens hjelp ved senere handler.

Klager benytter standardkomponenter fra leverandører av biometri hardware og software, og klager anfører at dette sikrer forskriftsmessig lagring og håndtering av dataene. Klager vil benytte M2Sys Bio-Plugin software og leseren M2Sys M2-S.

4 Klagers anførsler

Klager ba Datatilsynet om en vurdering av den skisserte løsning og hvorvidt dette vil være en løsning som omfattes av personopplysningsloven. Dersom det er omfattet av loven, ba klager om en redegjørelse for hvilke tiltak som vil måtte iverksettes for at en slik løsning vil kunne godkjennes av tilsynet.

Datatilsynet mente at løsningen som skissert ikke kunne benytte biometri, fordi det ikke fremstår som nødvendig å benytte biometri i denne saken, jf Personvernnemndas vedtak PVN-2006-07 til PVN-2006-11.

Klager ønsker en ny vurdering av denne avgjørelsen. Klager ønsker å benytte biometri, men benytter ikke dette til identifisering av personer, og mener derfor at vedtakene det refereres til ikke er relevante for denne løsningen.

Løsningen er for det første samtykkebasert, og er ikke i stand til å identifisere eller spore en person og hans handlemønster. Lagrede fingeravtrykk vil kun kunne fremskaffe en fødselsdato, det er ikke mulig å koble de lagrede biometriske dataene tilbake til en person. Det vil heller ikke være mulig å trekke ut handledata knyttet til en kjent kunde basert på biometriske opplysninger.

Fingeravtrykket brukes som nøkkel ned i databasen for å finne fødselsdatoen, men hvilket fingeravtrykk som ble lest, lagres ikke i transaksjonen i kassen. Det som lagres er kundens fødselsdato, hvorvidt alderskontrollen var godkjent og kasserernummeret på den operatøren som la inn opplysningene (som sikring mot juks fra operatørenes side).

Det er i dag til dels mulig å identifisere hvem som har foretatt en handel ved å se på det krypterte kortnummeret på bankkortet som er brukt i handelen, og slå opp dette mot reelle kortnummer i en tabell Nets (tidligere BBS) har tilgang til. Opplysninger om hvem som har handlet ligger dermed indirekte lagret i transaksjonen, men ikke på noen måte koblet mot fingeravtrykk.

Klager ønsker en vurdering av om dette kommer inn under personvern i det hele tatt, siden løsningen ikke håndterer personidentitet. Den benytter biometri, men reguleringen av dette er formålsstyrt mot identitet i lovens motivasjon.

Ved å la kundene selv kunne godtgjøre at de er gamle nok til å kjøpe alkohol eller tobakk, vil man oppnå en gedigen bedring av effektiviteten i kasseområdet, og redusere nødvendig ventetid for kundene.

Kvaliteten på dataene som lagres er avhengige av at operatøren foretar en skikkelig kontroll av identifikasjonskort ved registrering. Det er også en tilleggsdimensjon ved alderskontrollen at kunden ikke skal være beruset. Klager mener imidlertid at det er to problemstillinger ved implementasjonen som ikke berører de prinsipielle vurderinger. Kontroll av berusede personer vil være en del av den generelle driften av kasseområdet, og følges opp utenfor alderskontrollen.

Klager mener at den foreslåtte løsningen avviker på en del sentrale punkter i forhold til Personvernnemndas tidligere avgjørelser.

5 Datatilsynets vurdering

Datatilsynet påpeker at bruk av fingeravtrykk og andre biometriske kjennetegn er regulert i personopplysningsloven § 12. Det er svært strenge vilkår som må være oppfylt i henhold til bestemmelsen for at det skal være anledning til å bruke biometri som identifikasjon. Entydige identifikasjonsmidler kan kun brukes dersom det foreligger saklig behov for sikker identifisering og metoden må være nødvendig for å oppnå slik identifisering. Nødvendighetskravet skal tolkes strengt. Kravet er ikke oppfylt dersom andre og mindre sikre identifikasjonsmidler er tilstrekkelige.

Datatilsynet legger til grunn at tiltaket omfattes av personopplysningsloven, da fingeravtrykket i seg selv er en personopplysning, selv om klager opplyser at man ikke skal knytte fingeravtrykk til identitet.

Datatilsynet har lagt til grunn at biometriske løsninger ikke skal benyttes som identifisering der hvor det finnes andre muligheter, for eksempel gjennom bruk av ID-kort. I denne saken er det ingen tvil om at ID-kort kan benyttes til det samme formålet, nemlig alderskontroll, da dette er den vanlige løsningen i andre butikker.

Datatilsynet viser til Personvernnemndas praksis i sakene PVN-2006-07, PVN-2006-08, PVN-2006-09, PVN-2006-10 og PVN-2006-11. I disse sakene la Personvernnemnda til grunn at vilkårene ikke var oppfylt for Rema 1000s timeregistrering av ansatte eller treningsstudioer som adgangskontroll. Datatilsynet har senere konkludert med at et flyselskap oppfyller kravene i personopplysningslovens § 12 til bruk av biometri for å kontrollere at det er samme person som sjekker inn bagasje som går om bord i flyet.

Formålet med bruk av biometri i denne saken er å føre alderskontroll i butikk på en billigere måte. Datatilsynet kan ikke se at det er noen andre hensyn som taler til fordel for denne ordningen enn at butikkene kan spare penger på å ha færre ansatte til stede i lokalet. Slike hensyn er ikke blitt tillagt noe særlig vekt. Hensyn som er blitt tillagt vekt er av vesentlig mer alvorlig karakter, slik som fare for liv og helse, eller at sensitive personopplysninger skulle komme på avveie.

Ut fra praksisen skissert ovenfor er det for Datatilsynet vanskelig å se at de strenge kravene i personopplysningsloven § 12 er oppfylt med hensyn til bruk av biometri ved selvbetjente butikker.

6 Personvernnemndas merknader

Personvernnemnda skal ta stilling til bruk av fingeravtrykk som del av en løsning for alderskontroll ved selvbetjente butikker. Nemnda har vurdert bruk av fingeravtrykk og personopplysningsloven § 12 i en rekke tidligere saker. Det vises til PVN-2006-07, PVN-2006-08, PVN-2006-09, PVN-2006-10 og PVN-2006-11.

Det første nemnda skal ta stilling til er om personopplysningsloven § 12 kommer til anvendelse. Personvernnemnda foretok en grundig analyse av hvorvidt fingeravtrykk er en entydig identifikator i PVN-2006-07, jf § 12. Nemnda poengterte da at den i utgangspunktet var av den oppfatning at fødselsnummer og fingeravtrykk ikke nødvendigvis kan sammenlignes. Loven forutsetter at fødselsnummer kan brukes som ”entydig identifikasjonsmiddel”. Med ”entydig” sikter loven åpenbart til noe mer enn at identifikasjonen er entydig i forhold til det enkelte system. En identifikasjon må selvsagt være entydig innen systemets rammer, ellers vil den ikke kunne benyttes til oppslag. I denne forstand vil for eksempel en kundeidentifikasjon (KID) også være entydig i forhold til systemet for de aktuelle kunder. Når loven krever at identifikasjonsmiddelet må være entydig, tolket nemnda det slik at det kreves noe mer. Nemnda la derfor til grunn at loven må tolkes slik at identifikasjonsmiddelet må være egnet til bruk som identifikasjon i flere systemer. Fødselsnummeret vil i denne forstand være et entydig identifikasjonsmiddel, fordi det er en nøkkel til å gjenfinne informasjon i flere ulike systemer. Fingeravtrykk vil også være et entydig identifikasjonsmiddel i denne forstand fordi samme avtrykk kan brukes for å få tilgang til flere system. Fødselsnummeret vil være velegnet til identifikasjon, men uegnet til autentisering. Fingeravtrykket kan derimot brukes til begge deler.

Internt i systemet vil det ikke nødvendigvis brukes en ”nøkkel” som er identisk med fingeravtrykket eller fødselsnummeret. Fingeravtrykket konverteres til et templat, og dette templatet er i seg selv ikke et entydig identifikasjonsmiddel. Også et fødselsnummer kan behandles av et system slik at systemet selv bruker (og viser) et kryptert eller pseudonymisert nummer. Flertallet i PVN-2006-07 konkluderte likevel med at personopplysningsloven § 12 kom til anvendelse i saken. Nemnda la da avgjørende vekt på forarbeidenes uttalelse om at fingeravtrykk er et eksempel på ”andre entydige identifikasjonsmidler” i § 12. To av nemndas medlemmer (Leikny Øgrim og Jostein Halgunset) hadde imidlertid en særmerknad til dette.

Ved behandlingen av nærværende sak har Personvernnemnda tatt opp igjen denne problemstillingen og analysert nærmere skillet mellom identifisering og autentisering. Identifisering dreier seg om å knytte en entydig identifikator til en bestemt ressurs (som kan være en fysisk person). Autentisering innebærer at et (informasjons)-system er tilrettelagt for å kunne bekrefte (eller avkrefte) at en påstand er sann. Identifisering muliggjør å samle inn, lagre og sammenknytte informasjon om et identifisert objekt på tvers av informasjonssystemer. Dette kan gjøres helt uavhengig av om informasjonen er sann eller usann. Nytten av informasjonen forsvinner selvsagt dersom den er usann, men det er ikke alltid relevant ved identifisering. Autentisering er et fenomen som angår sannhet av en påstand. Eksempler på slike påstander kan være:

  1. Jeg har rettmessig tilgang til ressurs X.
  2. Jeg er over 18 år.
  3. Denne personen kan entydig identifiseres av fødselsnummeret 01010012345

I vårt samfunn er det vanlig å knytte rettigheter opp mot identitet. For eksempel vil et tilgangskontrollsystem gjerne være organisert som en liste av identiteter og deres tilgangsnivåer. For å få tilgang må man så kunne bevise påstanden at man «er» en identitet med den ønskede tilgang. Dette kan for eksempel gjøres ved at man først presenterer et symbol som forteller hvilken identitet man påstår å være (et brukernavn), og så autentiserer denne påstanden ved for eksempel å bevise at man kjenner en hemmelighet (et passord), eller besitter en fysisk egenskap (et fingeravtrykk) som bekrefter at påstanden om påstått identitet er sann. Ved at identifisering og autentifisering i praksis ofte er knyttet sammen ved at begge inngår i det som kan fortone seg som én prosess, har gjort at man i juridisk og teknisk litteratur ikke alltid har vært tydelig på at det er tale om to adskilte fenomen.

Personvernnemnda er kommet til at de to fenomenene må betraktes adskilt, og at dette har betydning for hvordan personopplysningsloven § 12 bør forstås. Med hensyn til de tre spørsmålene som brukes som eksempel i avsnittet ovenfor, er det bare det siste som faktisk innebærer en identifisering. I de to første kan det, dersom systemet er tilrettelagt for det, utvilsomt gjøres en autentisering uten at det samtidig behøver å skje noen form for identifisering. Dette avhenger av at bakveisidentifisering ikke er mulig i systemet. Man trenger ikke nødvendigvis vite en persons identitet for å avgjøre om han eller hun har visse rettigheter, eller om et gitt utsagn er sant.

Personopplysningsloven § 12 lyder:
Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Av forarbeidene (Ot prp nr 92 (98-99) side 114, 1. spalte) framgår det at:
Bestemmelsen gir en generell regulering av bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data. Slike identifikasjonsmidler bør ikke benyttes i utrengsmål. Kravet til nødvendighet i første ledd vil bare være oppfylt dersom andre og mindre sikre identifikasjonsmidler, som f.eks. navn, adresse og kundenummer ikke er tilstrekkelig. Det vil også ha betydning hvor viktig sikker identifisering er for den registrerte, dvs. hvilke konsekvenser en forveksling kan føre til. Også samfunnets behov kan tillegges vekt.

Etter nemndas syn er det uheldig at man i forarbeidene tilsynelatende setter likhetstegn mellom fødselsnummer og fingeravtrykk som «entydig identifikasjonsmiddel». Fødselsnummeret er menneskeskapt og har som sitt primære formål å tjene som entydig identifikasjonsmiddel. Et fingeravtrykk (og annen biometri) har ikke dette som sitt primære formål. Politiet har funnet måter å gå fra et registrert fingeravtrykk til en rimelig sikker identifikasjon til en fysisk person. Dette betyr at et fingeravtrykk har egenskaper som gjør at det kan anvendes som et (mer eller mindre) entydig identifikasjonsmiddel. Men etter nemndas syn er det å strekke dette for langt å påstå at et fingeravtrykk er et entydig identifikasjonsmiddel. Det er utvilsomt korrekt at fingeravtrykk og annen biometri kan anvendes som identifikasjonsmiddel. Dersom fingeravtrykket brukes som identifikasjonsmiddel, så må de begrensinger som følger av § 12 gjelde. Dersom imidlertid bruken av fingeravtrykket avgrenser seg til autentisering, for eksempel for å bekrefte eller avkrefte påstanden: «Jeg er over 18 år», uten at identifisering finner sted, så nyttes fingeravtrykket ikke som identifikasjonsmiddel og § 12 kommer ikke til anvendelse.

I nærværende sak kan ikke nemnda se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel. Bruken begrenses til å framskaffe et sannferdig svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare? Det er altså kun tale om autentisering, ikke identifisering. Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver.

Det er videre nemndas oppfatning at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering. Slik systemet skal fungere i denne saken skal det ikke være mulig med bakveisidentifikasjon. Det registreres kun en fødselsdato, en fingeravtrykksrepresentasjon (templat) og en tilfeldig generert GUID fra systemet for å ha en nøkkel i databasen (for å binde sammen fødselsdato og templat). Det er ikke mulig å reversere et templat til et fingeravtrykk. Når kunden legger fingeren på fingeravtrykksleseren vil maskinen kunne bekrefte eller avkrefte hvorvidt personen har en viss egenskap – det vil si er over 18 år – men det er ikke en personopplysning og vil verken direkte eller indirekte kunne knyttes til en enkeltperson. Det er også mulig å legge inn et «ja/nei» i stedet for fødselsdato. Etter nemndas syn vil det, så lenge dette avtrykket håndteres maskinelt på en slik måte at det ikke kan kobles til person, ikke være behandling av personopplysninger. Det er klart at et grafisk bilde av et fingeravtrykk vil være en personopplysning. Klager skal imidlertid ikke bruke et grafisk bilde av fingeravtrykk, men et mønster av punkter trukket ut av fingeravtrykket. Et slikt mønster kan ikke knyttes til en enkeltperson, selv om man skulle ha full tilgang til politiets fingeravtrykkregister. I denne saken kommer dermed ikke personopplysningsloven til anvendelse.

Saken er således ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon.

7 Vedtak

Klagen tas til følge.

 

 

Oslo, 16. mars 2012

Eva I E Jarbekk
Leder