Personvernnemndas vedtak 31. august 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder spørsmål om lovligheten av et treningssenters bruk av kameraovervåking av inngangspartiet til treningssenteret, herunder spørsmål om kameraovervåkingen medfører behandling av biometriske opplysninger, jf. personvernforordningen artikkel 4 nr. 14.
Sakens bakgrunn
Datatilsynet mottok en henvendelse fra et medlem av Expressgym 4. desember 2019. Klager, som har bedt om å få være anonym, mente treningssenteret bruker ulovlig ansiktsgjenkjenning hver gang et medlem slippes inn på treningssenteret.
På Datatilsynets anmodning redegjorde Expressgym 8. januar 2021 for at det ikke registreres eller lagres biometriske avtrykk i deres medlemssystem, men at medlemsregisteret inneholder et profilbilde og at det tas et ansiktsbilde ved bruk av medlemskapet ved passering. Bildet oppbevares i inntil 6 uker. Etter oppsigelse slettes all passeringshistorikk og personalia anonymiseres.
På bakgrunn av redegjørelsen besluttet tilsynet å avslutte saken i brev til Expressgym 21. januar 2021. Datatilsynet la til grunn at Expressgym ikke behandler biometriske opplysninger. Datatilsynet sendte samtidig kopi av brevet til klager.
Etter at Datatilsynet innvilget klageren utvidet klagefrist, klaget han rettidig på Datatilsynets avgjørelse i brev 28. januar 2021. I klagen konkretiserer han at klagen ikke bare gjelder bruk av ansiktsgjenkjenningsutstyr (biometriske opplysninger), men også treningssenterets lagring av profilbilder/ansiktsbilder uten at det er innhentet informert samtykke fra medlemmene.
Datatilsynet vurderte klagen, men fant ikke grunn til å endre sitt vedtak. Saken ble oversendt Personvernnemnda 28. april 2021. Partene ble orientert om saken i brev fra nemnda 7. mai 2021, og fikk anledning til å komme med kommentarer. Ingen av partene har gitt ytterligere kommentarer.
Saken ble behandlet i nemndas møte 31. august 2021. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i hovedtrekk
Datatilsynet viser til at Expressgym i brev til tilsynet 8. januar 2021 informerer om at treningssenteret ikke registrerer eller lagrer biometriske avtrykk, verken ansiktsgjenkjenning eller fingeravtrykk. Det eneste treningssenteret lagrer ved registrering av medlemmer er personalia og et profilbilde av medlemmet. Ved bruk av medlemskapet lagres bilde for hver passering i inntil seks uker. Etter oppsigelse slettes all passeringshistorikk og personalia anonymiseres. Film fra videoovervåking lagres i inntil sju dager, hvor det etterpå blir slettet og uten mulighet for å gjenopprette videoen.
Datatilsynet viser til at et videoopptak av en person i seg selv ikke anses som biometriske opplysninger, så lenge opptaket ikke har gjennomgått særskilt teknisk behandling for
å bidra til å identifisere en person, jf. personvernforordningen artikkel 4 nr. 14.
Datatilsynet konkluderer med at Expressgym ikke behandler biometriske opplysninger ulovlig og avslutter saken.
Klagers syn på saken i hovedtrekk
Expressgym oppbevarer ansiktsbilder av sine medlemmer, uten noen form for informert samtykke. Biometriske kjennetegn kan beskrives som kjennetegn som utgår fra kroppen, som er unike for deg som enkeltperson og samtidig permanente eller stabile over tid. Et ansiktsbilde er derfor, i seg selv, biometriske data. Lagring av ansiktsbilder er lagring av biometriske data.
Det å lagre et ansiktsbilde, i deres brev kalt «profilbilde», er noe det må gis skriftlig samtykke for. På Expressgym sine nettsider finnes det ingen informasjon vedrørende ansiktsbilde, lagring av dette eller noen form for informert samtykke.
Bare det å lagre ansiktsbilder av medlemmer i en database innebærer en risiko for at databasen kan hackes og lastes ned av uvedkommende. Klager ønsker ikke at kriminelle eller noen andre skal ha mulighet til å laste ned og bruke hans ansiktsbilde. Selv om personalia er anonymisert, kan ansiktsbilder brukes til kriminelle formål, som å lage falske pass.
De fleste treningssentre bruker kun videoovervåking i sine sikkerhetssystemer. Expressgym bør gjøre det samme.
Hovedregelen bør være at dersom det finnes alternative tilnærmet likeverdige løsninger, så bør virksomheten velge den løsningen som er minst inngripende for den enkeltes personvern.
Personvernnemndas vurdering
Behandling av personopplysninger må ha et rettslig grunnlag etter personvernforordningen artikkel 6. Noen kategorier av personopplysninger er i utgangspunktet forbudt å behandle. Det gjelder blant annet biometriske opplysninger med det formål å entydig identifisere en fysisk person. Dersom slike personopplysninger skal behandles, må ett av unntakene i artikkel 9 nr. 2 bokstav a til j komme til anvendelse, i tillegg til det alminnelige behandlingsgrunnlaget i artikkel 6.
Biometriske opplysninger er definert slik i artikkel 4 nr. 14:
«personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,»
I forordningens fortalepunkt 51 presiseres det blant annet:
«[…] Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. […].»
Nemnda legger til grunn at treningssenterets bruk av medlemmenes ansiktsbilde ikke gjennomgår en særskilt teknisk behandling av medlemmets fysiske egenskaper for entydig å identifisere personen, og opplysningen kan derfor ikke anses som biometriske opplysninger i forordningens forstand, jf. artikkel 4 nr. 14.
Nemnda er etter dette enig med Datatilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet ikke innebærer en behandling av biometriske opplysninger. Det gjelder både for selve kameraopptaket og for den lagringen av bilde som er beskrevet at skjer ved hver passering.
Nemnda oppfatter klager slik at han ikke bare klager over bruken av biometriske opplysninger, men mer generelt at han mener treningssenterets særskilte lagring av ansiktsbilde i tillegg til vanlig kameraovervåking, er ulovlig og mangler behandlingsgrunnlag, jf. for eksempel hans anførsel om at «De fleste treningssentre bruker kun videoovervåking i sine sikkerhetssystemer. Expressgym bør gjøre det samme». Nemnda kan ikke se at Datatilsynet har vurdert denne delen av klagen. Det framkommer ikke at Datatilsynet har foretatt noen vurdering av hvilket behandlingsgrunnlag Expressgym har for registrering og lagring av ansiktsbilde ved passering i tillegg til kameraovervåking. I og med at Datatilsynet treffer avgjørelse i første instans, sendes denne delen av saken tilbake til Datatilsynet for ny vurdering.
Klager får etter dette ikke medhold i sin klage når det gjelder behandling av biometriske opplysninger. Når det gjelder spørsmålet om Expressgym har behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering, må Datatilsynet først ta stilling til spørsmålet, før det eventuelt blir en sak for Personvernnemnda, dersom en av partene klager på Datatilsynets avgjørelse.
Vedtaket er enstemmig.
Konklusjon
Expressgym behandler ikke biometriske opplysninger, og for øvrig returneres saken til Datatilsynet for fortsatt behandling.
Oslo, 31. august 2021
Mari Bø Haugstad
Leder