Datatilsynets referanse: 11/00404-9/SEV

PVN-2011-12 Adgangskontroll ubetjent treningssenter
Klage på Datatilsynets pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll

Personvernnemndas avgjørelse av 18. april 2012 (Eva I. E. Jarbekk, Arve Føyen, Tom Bolstad, Leikny Øgrim, Gisle Hannemyr, Jostein Halgunset, Ørnulf Rasmussen)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll. Saken gjelder bruk av biometri, fingeravtrykk, i delvis ubetjent treningskjede for å kontrollere og loggføre brukerne.

2 Saksgang

Datatilsynet mottok 29.3.2011 en e-post der tilsynet ble gjort oppmerksom på at en treningskjede i Oslo krever bruk av fingeravtrykk fra sine kunder. Som medlemsbetingelser har senteret skrevet at innpassering når senteret er ubemannet, skjer ved fingeravtrykkskontroll.

Datatilsynet varslet om vedtak i brev av 30.5.2011. Virksomheten redegjorde for sin tekniske løsning i svarbrev til tilsynet av 21.6.2011 og anførte at løsningen var godkjent av den svenske datatilsynsmyndigheten.

Datatilsynet sendte 2.8.2011 vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll. Datatilsynet påpekte at i Norge reguleres dette av personopplysningsloven § 12, som ikke finnes i den svenske personopplysningsloven. Virksomheten påklagde Datatilsynets vedtak 7.9.2011.

Saken ble oversendt Personvernnemnda 17.11.2011, som mottok saken 25.11.2011. Klager ble orientert om dette i brev fra nemnda datert 28.11.2011, med frist til uttalelse innen 19.12.2011. Klager ba om fristutsettelse og utsettelse til 10.1.2012 ble innvilget. Klager sendte sine kommentarer til saken ved advokat Midlings e-post til Personvernnemnda av 10.1.2012. Personvernnemnda etterspurte mer informasjon i e-post til klagers advokat av 23.1.2012. Advokaten besvarte henvendelsen i e-post av 9.2.2012 og e-post av 27.2.2012.

Personvernnemnda kontaktet klagers advokat og ba om ytterligere informasjon i e-post av 22.3.2012. Klager besvarte spørsmålene med mer utfyllende informasjon i e-post av 27. 3.2012 og 3.4.2012.

3 Faktum

Klager har i Sverige etablert en rekke treningssentre under navnet Fitness24Seven. I 2011 ble det etablert to sentre i Oslo og flere er under etablering. Samtlige sentre er oppe hele døgnet, hele uken, hele året.  Dette er et tilbud til de som ikke kan benytte treningssentre på det som faller innenfor vanlig dag/kveldstid. Tilbudet gjelder for alle som er medlem og det er ikke forskjell i medlemsavgiften for de som trener om natten og de som trener innenfor vanlig tid. Lokalene og resepsjonen er bemannet mellom kl 12-19 mandag til fredag, men ellers ubemannet.

I Sverige har klager engasjert eksperter på området med å etablere et system for autentisering som bygger på fingeravtrykk, biometri. Systemet går ut på at det blir utstedt et medlemskort. På dette kortet, og bare på det, blir medlemmets fingeravtrykkstemplat lagret. Templatet blir ikke lagret i noe register, verken lokalt i det enkelte treningssenter eller sentralt hos klager eller noen annen og verken manuelt eller elektronisk. Det finnes en kortleser ved første inngangsdør i slusen. Her trekker medlemmet sitt kort for å åpne døren på vei inn i slusen. Inne i slusen sitter en ny kortleser som har en integrert fingeravtrykksleser. For at medlemmet skal kunne åpne neste dør inn til senteret må kortet settes mot denne kortleseren. Kortet leses av og deretter legges fingeren på samme kortleser for å verifisere at kortet tilhører denne personen. Kort og finger må altså dras samtidig for at dette skal fungere.    

Fingeravtrykkleseren skal utelukkende sikre likhet mellom den personens finger som avleses i fingeravtrykkleseren og avtrykket på det kort som avleses.  Det vil si at medlemskortet skal inneholde samme fingeravtrykk som avleses i fingeravtrykkleseren. Informasjon om betalingsstatus kan formidles gjennom kortet ved at kortet er synkronisert med betalingssystemet. Dersom en avgift er ubetalt, åpnes ikke den første døren i slusen. Medlemmet kommer ikke lenger inn i slusen og når da ikke frem til fingeravtrykksleseren.

Det lagres et templat, ikke et helt fingeravtrykk eller bilde av et fingeravtrykk. Et nummer brukes som nøkkel eksternt physical access-system. Dersom man ikke bruker kortets serienummer kan kunden oppgi et alternativt nummer i en annen sekvens (custom card number CCN), for eksempel for å gjøre integrasjonen enklere med andre system. Hvilket nummer som brukes bestemmes ved registreringen. Hvilken finger som lagres, er opp til kunden å velge. Templatet som lagres på kortet inneholder ingen data som beskriver hvilken finger som er registrert. Fingeravtrykksinformasjon (templatet og nummeret) lagres kun på kortet i en chip. BA200-systemet og physical access-systemet deler informasjon om kortets serienummer/custom card number. Informasjonen overføres ved registreringen og ved hjelp av copy-paste mellom Windows-applikasjoner, og ved verifisering over Wiegand eller Data Clock. Det er kun ett templat som lagres. Antall punkter er 10. Templatformatet er proprietært – en hybrid av minutia-code og PPM9 som kallas før ”teen-templat” eller ENROLL_V2.

Ved verifisering overføres informasjon trådløst fra Mifare/Desfire-kortet til BA200-terminalen der matching skjer. Under matchingsprosessen lagres templatet midlertidig i BA200-terminalens minne og slettes deretter umiddelbart. Lesenøklene som kreves for å overføre fingertemplatet fra kortet til BA200 er hemmelige og er kun tilgjengelige for Precise Biometrics. Fitness 24Seven har ikke tilgang til disse.

4 Klagers anførsler

Klager vil klarlegge enkelte forhold som kanskje ikke har kommet klart nok frem i klagen. Dette gjelder særlig synspunkter knyttet til klagers system for sikker adgangskontroll, behovet for sikker autentisering og de rettslige vurderinger som er foretatt av Datatilsynet. Datatilsynet skriver på side 3 i sitt oversendelsesbrev; ”Datatilsynet kan ikke se at det er noen andre hensyn som taler til fordel for denne ordningen enn at treningslokalene det dreier seg om kan spare penger på ikke å ha ansatte tilstede i lokalene”. For klager blir dette en lettvint og helt forfeilet beskrivelse av formålet med og bakgrunnen for å ha et ubemannet lokale. Det faktiske forhold er jo at tilbudet ikke kan opprettholdes for den mindre gruppe mennesker som har behov for å trene på odde tider, hvis lokalene skal måtte bemannes i denne perioden. Når det således foreligger en helt legitim grunn til å ha ubemannede lokaler i deler av døgnet/uken, er det viktig for klager at de som befinner seg i lokalene til enhver tid, er medlemmer og har fått tilgang til lokalene som sådanne.

Behovet for å ha en sikker autentisering er knyttet til at ingen andre enn medlemmer skal ha tilgang til lokalene. Det skal ikke være mulig for andre enn medlemmet å trene i lokalene når disse er ubemannet. Systemet sikrer at medlemskort ikke kan lånes bort til venner eller kjente eller brukes av personer som har funnet/stjålet et mistet kort. Dersom det skulle være mulig, ville det sette på spill det økonomiske grunnlaget for å ha åpent på odde tider og i ytterste konsekvens medføre at tilbudet ikke kunne opprettholdes. Det er kjent at treningssentre kan tiltrekke seg personer som kan representere sikkerhetsrisikoer, og det er kjent at det forekommer misbruk av stoffer i kroppsbyggermiljøer. Realisasjonen av ideen om et fulltidsåpent treningstilbud, bygger på at man skal ha kontroll med hvilke personer som er medlem. Klager har vurdert at alle disse forhold samlet og enkeltvis gjør det nødvendig å ha et adgangskontrollsystem som utelukker misbruk av medlemskort.

Det medlemmene går rundt med, er altså sitt eget fingeravtrykk på et medlemskort. Det er det samme som å gå rundt med sine egne fingre, men da overført til et kort.  Ingen kan nyttiggjøre seg opplysningene som fremkommer på kortet i noen form eller på noen måte andre enn innehaveren av kortet.

Når det gjelder selve autentiseringen for å komme inn i treningslokalene er det viktig å merke seg at det ikke skjer noen konkret identifisering av medlemmet når vedkommende går inn gjennom slusene i lokalet. Det skjer kun en autentisering av at vedkommende er medlem i kraft av bruken av sitt medlemskort.

Datatilsynet har anført at ”Datatilsynet har lagt til grunn at biometriske løsninger ikke skal benyttes som identifisering der hvor det finnes andre muligheter, for eksempel gjennom bruk av ID-kort med tilhørende kode.” I forhold til de hensyn som klager har lagt til grunn ovenfor og som begrunner sikker autentisering, er bruk av ID-kort med tilhørende kode ikke tilfredsstillende. Som nevnt kan ID-kort lånes bort både som sådant og sammen med koder. Datatilsynet har etter det klager mener kun referert et rettsgrunnlag, men det er ikke gitt anvisning på noe system som gir en sikker identifisering basert på andre muligheter. Som nevnt mener klager at andre muligheter ikke gir en tilstrekkelig sikker adgangskontroll. Det er kun klagers system som gir slik sikkerhet etter det klager er kjent med.

Klager mener i tillegg at det kan reises berettiget spørsmål om klagers autentiseringssystem i det hele tatt faller inn under personopplysningsloven. Formålet med personopplysningsloven fremkommer i § 1 og lovgiver antas ikke å ha hatt for øye det helt spesielle systemet som klager har etablert. Bruk av systemet gir etter klagers oppfatning ingen eksponering overhodet for det loven har som formål, nemlig ” å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.”

Skulle Personvernnemnda anse at saken omfattes av personopplysningloven så gjør klager gjeldende at de rettslige relevante kilder i saken er knyttet til sentrale bestemmelser i denne.  Med utgangspunkt i personopplysningsloven § 12 uttaler Datatilsynet i sitt brev at ”Det er svært strenge vilkår som må være oppfylt i henhold til bestemmelsen for at det skal være anledning til å bruke biometri som identifikasjon”. Til dette skal klager bemerke at § 12 i loven bruker uttrykket ”Fødselsnummer og andre entydige identifikasjonsmidler”. Det kan synes om Datatilsynet i sine vurderinger og konklusjoner legger til grunn at vilkårene i loven er strengere for å bruke biometri som identifikasjon i forhold til å bruke fødselsnummer.  Det er slik klager ser det ikke holdepunkter hverken i lovteksten eller forarbeidene for en slik slutning. Datatilsynets strenge fortolknings praksis av nødvendighetskriteriet er koblet sammen med at det ikke er oppfylt dersom andre og mindre sikre identifikasjonsmidler er tilstrekkelige. Klager mener at det i forhold til de behov som klager har redegjort for når det gjelder sikker autentisering ikke er grunnlag for en konklusjon om at andre og mindre sikre identifikasjonsmidler er tilstrekkelige. Datatilsynet har som anført ikke redegjort for noe system som gir en tilstrekkelig autentisering ved adgang til de ubetjente treningslokalene.

Det er et grunnleggende krav for behandling av personopplysninger at det foreligger et samtykke, jfr. § 8 i personopplysningsloven. I nærværende sak har samtlige som er medlemmer avgitt sitt samtykke. Det er på det rene at slikt samtykke ikke har avgjørende vekt i forhold til de særskilte krav i lovens § 12. Det er Personvernnemnda som forvalter personopplysningsloven og skal ha skjønnsutøvelsen. Klager mener at dette skjønnet må utøves i forhold til den virkelighet som til enhver tid er til stede for å sikre den enkelte og uten å dramatisere forholdene må det være tillatt å mene at trusselbildet har forandret seg etter 22. juli 2011. Dette bør innebære at det skjer en endret vurdering av hele skjønnstemaet knyttet til § 12 i saker som nærværende.

Datatilsynet anfører at ”Datatilsynets vurderinger om bruk av biometri i denne saken baseres i stor grad på praksis fra Personvernnemnda.” Datatilsynet legger med dette som referanse til grunn at vilkårene ikke var oppfylt for treningsstudioer som del av adgangskontroll. Det er referert til avgjørelser PVN-2006-08 og PVN 2006-09. Klager kan ikke se at de sakene som er trukket frem er identiske og sakene er derfor ikke anvendbare på nærværende sak. Det fremkommer ikke i premissene i noen av avgjørelsene at disse treningssentrene var ubetjente og for klager er nettopp det forhold at deres treningssentre tidvis er ubemannet et forhold som gir skjerpet krav til sikker autentisering. Andre former for adgangskontroll kan selvsagt være tilstrekkelige der hvor lokalene er konstant bemannet, men det gjelder altså ikke denne saken.

Klager anser at det sentrale grunnlag i Datatilsynets vedtak er at ”treningslokalene det dreier seg om kan spare penger på å ikke ha ansatte tilstede i lokalene.” For en seriøs tilbyder av treningsfasiliteter fremstår dette som et svært lettvint og urimelig utsagn. Klager har i fokus at personer med manglende muligheter for trening innen vanlige åpningstider, som f.eks. som følge av arbeidsturnuser, familiesituasjoner mv. også bør få et treningstilbud. Dette er det bærende grunnlag for tilbudet og det kan ikke gjennomføres uten at man har ubemannede lokaler på angitte tider.

Personopplysningsloven er som kjent resultat av implementeringen av EU direktiv 95/46. Norge har i forbindelse med implementeringen og i motsetning til Sverige innført bestemmelsen i lovens § 12.  I Sverige er det inntatt en regel som legger til grunn at registrering av personnummer bare kan skje når det er klart motivert med hensyn til:

            a) ändamålet med behandlingen
            b) vikten av en säker identifiering
            c) något annat beaktansvärt skäl

Det foreligger en avgjørelse i det svenske datatilsyn for Fitness24Seven hvor det samme kontrollsystem som er beskrevet i denne saken ble tillatt brukt og vekt ble lagt på at det forelå samtykke fra medlemmet. Det er på det rene at norsk og svensk lovgivning er forskjellig, men det gjelder kun samtykkets betydning. Ellers er skjønnstemaet det samme og det er ikke noe i situasjonen i Norge i forhold til i Sverige som skulle tilsi at de rent faktiske forhold og behov for sikker autentisering og den skjønnsmessige vurdering av dette skulle falle forskjellig ut.

5 Datatilsynets vurdering

Datatilsynet påpeker at bruk av fingeravtrykk og andre biometriske kjennetegn er regulert i personopplysningsloven § 12. Det er svært strenge vilkår som må være oppfylt i henhold til bestemmelsen for at det skal være anledning til å bruke biometri som identifikasjon. Entydige identifikasjonsmidler kan kun brukes dersom det foreligger saklig behov for sikker identifisering og metoden må være nødvendig for å oppnå slik identifisering. Nødvendighetskravet skal tolkes strengt. Kravet er ikke oppfylt dersom andre og mindre sikre identifikasjonsmidler er tilstrekkelige.

Datatilsynet legger til grunn at tiltaket omfattes av personopplysningsloven, da fingeravtrykket i seg selv er en personopplysning.

Datatilsynet har lagt til grunn at biometriske løsninger ikke skal benyttes som identifisering der hvor det finnes andre muligheter, for eksempel gjennom bruk av ID-kort med tilhørende kode.

Datatilsynet viser til Personvernnemndas praksis i sakene PVN-2006-07, PVN-2006-08, PVN-2006-09, PVN-2006-10 og PVN-2006-11. I disse sakene la Personvernnemnda til grunn at vilkårene ikke var oppfylt for Rema 1000s timeregistrering av ansatte eller treningsstudioer som adgangskontroll. Datatilsynet har senere konkludert med at et flyselskap oppfyller kravene i personopplysningslovens § 12 til bruk av biometri for å kontrollere at det er samme person som sjekker inn bagasje som går om bord i flyet.

Formålet med bruk av biometri i denne saken er å føre adgangskontroll på et senter som er ubemannet i store deler av uken. Datatilsynet kan ikke se at det er noen andre hensyn som taler til fordel for denne ordningen enn at treningslokalene det dreier seg om kan spare penger på å ikke ha ansatte til stede i lokalene. Slike hensyn er ikke blitt tillagt noe særlig vekt. Hensyn som er blitt tillagt vekt er av vesentlig mer alvorlig karakter, slik som fare for liv og helse, eller at sensitive personopplysninger skulle komme på avveie.

Ut fra praksisen skissert ovenfor er det for Datatilsynet vanskelig å se at de strenge kravene i personopplysningsloven § 12 er oppfylt med hensyn til bruk av biometri ved adgangskontroll til treningslokaler. Datatilsynet kan ikke se at den spesifikke løsningen som beskrives gjør at forholdet stiller seg noe annerledes, da personopplysningsloven § 12 fremdeles vil regulere også denne løsningen.

6 Personvernnemndas merknader

Personvernnemnda skal ta stilling til bruk av fingeravtrykk som del av en løsning for adgangskontroll til ubemannede treningslokaler. Nemnda har vurdert bruk av fingeravtrykk og personopplysningsloven § 12 i en rekke tidligere saker. Det vises til PVN-2006-07, PVN-2006-08, PVN-2006-09, PVN-2006-10 og PVN-2006-11.

Det første nemnda skal ta stilling til er om personopplysningsloven § 12 kommer til anvendelse. Personvernnemnda foretok en grundig analyse av hvorvidt fingeravtrykk er et entydig identifikasjonsmiddel i PVN-2006-07, jf § 12. Nemnda poengterte da at den i utgangspunktet var av den oppfatning at fødselsnummer og fingeravtrykk ikke nødvendigvis kan sammenlignes. Loven forutsetter at fødselsnummer kan brukes som ”entydig identifikasjonsmiddel”. Med ”entydig” sikter loven åpenbart til noe mer enn at identifikasjonen er entydig innenfor det enkelte system. En identifikasjon må selvsagt være entydig innen systemets rammer, ellers vil den ikke kunne benyttes til oppslag. I denne forstand vil for eksempel en kundeidentifikasjon (KID) også være entydig innenfor systemet for de aktuelle kunder. Når loven krever at identifikasjonsmiddelet må være entydig for at § 12 skal komme til anvendelse, tolket nemnda det slik at det kreves noe mer. Nemnda kom derfor til at loven må tolkes slik at identifikasjonsmiddelet må være egnet til bruk som identifikasjon i flere systemer. Fødselsnummeret vil i denne forstand være et entydig identifikasjonsmiddel, fordi det er en nøkkel til å gjenfinne informasjon i flere ulike system. Fingeravtrykk kan også være et entydig identifikasjonsmiddel i denne forstand fordi samme avtrykk kan brukes for å få tilgang til flere system. Fødselsnummeret vil være velegnet til identifikasjon, men uegnet til autentisering. Fingeravtrykket kan derimot brukes til begge deler.

Internt i systemet vil det ikke nødvendigvis brukes en «nøkkel» som er identisk med fingeravtrykket eller fødselsnummeret. Fingeravtrykket konverteres til et templat, og dette templatet er i seg selv ikke et entydig identifikasjonsmiddel fordi det bare inneholder en liten del av den informasjonen som ligger i fingeravtrykket. Til tross for betenkelighetene konkluderte flertallet i PVN-2006-07 likevel med at personopplysningsloven § 12 kom til anvendelse i saken. Nemndas flertall la da avgjørende vekt på forarbeidenes uttalelse om at fingeravtrykk er et eksempel på ”andre entydige identifikasjonsmidler” i § 12. To av nemndas medlemmer (Leikny Øgrim og Jostein Halgunset) hadde imidlertid en særmerknad til dette.

Ved behandlingen av nærværende sak har Personvernnemnda tatt opp igjen denne problemstillingen og analysert nærmere skillet mellom identifisering og autentisering. Identifisering dreier seg om å knytte en identifikator til en bestemt person. Formålet med identifisering er å kunne samle inn, lagre og sammenknytte informasjon om et identifisert objekt. Dette kan gjøres helt uavhengig av om informasjonen er sann eller usann. Nytten av informasjonen forsvinner selvsagt dersom den er usann, men det er ikke alltid relevant ved identifisering. Autentisering innebærer å avgjøre sannhetsverdien av en påstand. Eksempler på slike påstander kan være:

1.  Jeg har rettmessig tilgang til ressurs X.
2.  Jeg er over 18 år.
3.  Denne personen kan entydig identifiseres av fødselsnummeret 01010012345

I vårt samfunn er det vanlig å knytte rettigheter opp mot identitet. For eksempel vil et tilgangskontrollsystem gjerne være organisert som en liste av identiteter og deres tilgangsnivåer. For å få tilgang må man så kunne bevise påstanden at man «er» en identitet med den ønskede tilgang. Dette kan for eksempel gjøres ved at man først presenterer et symbol som forteller hvilken identitet man påstår å være (et brukernavn), og så autentiserer denne påstanden ved for eksempel å bevise at man kjenner en hemmelighet (et passord), eller besitter en fysisk egenskap (et fingeravtrykk) som bekrefter at påstanden om identitet er sann. Det at identifisering og autentisering i praksis ofte er knyttet sammen ved at begge inngår i det som kan fortone seg som én prosess, har gjort at man i juridisk og teknisk litteratur ikke alltid har vært tydelig på at det er tale om to adskilte fenomen.
 Av de tre spørsmålene som brukes som eksempel i avsnittet ovenfor, er det bare det siste som faktisk innebærer en identifisering. I de to første kan det, dersom systemet er tilrettelagt for det, avgjøres om en person har den påståtte rettigheten uten å gå veien om vedkommendes identitet. Man trenger ikke nødvendigvis vite en persons identitet for å avgjøre om han eller hun har visse rettigheter.

Personopplysningsloven § 12 lyder:
Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Av forarbeidene (Ot prp nr 92 (98-99) side 114, 1. spalte) framgår det at:
Bestemmelsen gir en generell regulering av bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data. Slike identifikasjonsmidler bør ikke benyttes i utrengsmål. Kravet til nødvendighet i første ledd vil bare være oppfylt dersom andre og mindre sikre identifikasjonsmidler, som f.eks. navn, adresse og kundenummer ikke er tilstrekkelig. Det vil også ha betydning hvor viktig sikker identifisering er for den registrerte, dvs. hvilke konsekvenser en forveksling kan føre til. Også samfunnets behov kan tillegges vekt.

Etter nemndas syn er det uheldig at man i forarbeidene til § 12 tilsynelatende setter likhetstegn mellom fødselsnummer og fingeravtrykk som «entydig identifikasjonsmiddel».
Fødselsnummeret er menneskeskapt og har som sitt primære formål å tjene som entydig identifikasjonsmiddel. Et fingeravtrykk (og annen biometri) har ikke dette som sitt primære formål. Politiet har funnet måter å gå fra et registrert fingeravtrykk til en rimelig sikker identifikasjon til en fysisk person. Dette betyr at et fingeravtrykk har egenskaper som gjør at det kan anvendes som et (mer eller mindre) entydig identifikasjonsmiddel. Men etter nemndas syn er det å strekke dette for langt å påstå at et fingeravtrykk er et entydig identifikasjonsmiddel. Det er utvilsomt korrekt at fingeravtrykk og annen biometri kan anvendes som identifikasjonsmiddel. Dersom fingeravtrykket brukes som identifikasjonsmiddel, så må de begrensinger som følger av § 12 gjelde. Dersom imidlertid bruken av fingeravtrykket avgrenser seg til autentisering, for eksempel for å bekrefte eller avkrefte påstanden: «Jeg har lovlig adgang til treningssenter X», uten at identifisering finner sted, så nyttes fingeravtrykket ikke som identifikasjonsmiddel og § 12 kommer ikke til anvendelse.

I nærværende sak kan ikke nemnda se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebærer identifisering eller at fingeravtrykkstemplatet brukes som entydig identifikasjonsmiddel. Løsningen er laget slik at både kort og finger må avleses, og det skjer en matchingsprosess, men fingeravtrykket lagres ikke på en slik måte at mennesker eller andre systemer kan få tak i det. Templatet er kun registrert i kortet.

Det er imidlertid én persistent identitet i sakens fakta og det er kortnummeret eller kundenummeret i treningskortet. Kortleseren registrerer kort med kundenummeret og dermed vet senteret når en bestemt kunde er på treningssenteret. En tilsvarende registrering gjøres imidlertid også i treningssentre hvor man kun trekker et kort ved adgangskontrollen. Fingeravtrykkstemplatet i kortet brukes dermed ikke til annet enn verifisering av en påstått identitet. Avlesningen bekrefter at kunden er den som kortet tilhører. Bruken av finger og kort kobles ikke med andre identifikasjonsmidler. Det er altså kun tale om bevis av tilgangsrettighet (autentisering), ikke identifisering. Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver.

Slik systemet skal fungere i denne saken er det ikke mulig å reversere et templat til et fingeravtrykk. Når kunden legger fingeren på fingeravtrykksleseren vil maskinen kunne bekrefte eller avkrefte hvorvidt personen har en viss egenskap – det vil si at vedkommende er innehaver av et gyldig treningskort – men det er ikke en personopplysning og vil verken direkte eller indirekte kunne knyttes til en enkeltperson. Etter nemndas syn vil det, så lenge dette avtrykket håndteres maskinelt på en slik måte at det ikke kan kobles til person, ikke være behandling av personopplysninger. Det er likevel klart at et grafisk bilde av et fingeravtrykk vil være en personopplysning. Klager skal imidlertid ikke bruke et grafisk bilde av fingeravtrykk, men et mønster av punkter trukket ut av fingeravtrykket. Et slikt mønster kan ikke knyttes til en enkeltperson, selv om man skulle ha full tilgang til politiets fingeravtrykksregister. I denne saken kommer dermed ikke personopplysningsloven til anvendelse.

Spørsmålet er imidlertid, selv om fingeravtrykkstemplatet kun finnes i medlemskortet og ikke er lagret i systemet, om bruken av selve medlemskortet (med medlemsnummer eller kortnummer) knytter personen til et kunderegister. Det vil si at når kunden drar kortet ved inngangen vil kortnummeret lagres i kunderegisteret. Slik informasjon brukes vanligvis til kundeoppfølging, ulike typer treningsstatistikk etc. Klager har imidlertid opplyst at treningssenteret ikke benytter opplysningene på individnivå på denne måten. Videre har klager opplyst at opplysninger om betalingsstatus for medlemskortet er organisert slik at det er selve kortet som er synkronisert med betalingssystemet. Kortet dras ved en ytre sluse. Dersom treningsavgiften ikke er betalt, åpnes ikke døren og medlemmet kommer ikke lenger inn i slusen og når altså ikke inn til fingeravtrykksleseren. Slik nemnda ser det er det således kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

Saken er således vesensforskjellig fra de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon. I denne saken brukes fingeravlesingen ikke som identifikasjonsmiddel, det er det kortet som gjør. Dette skiller seg fra for eksempel PVN-2006-08 og PVN-2006-09, hvor avtrykket ble brukt som identifikasjonsmiddel og templatet ble lagret i en database.

7 Vedtak

Klagen tas til følge.

 

 

Oslo, 18. april 2012

Eva I E Jarbekk
Leder