Personvernnemndas vedtak 18. desember 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra A på Datatilsynets vedtak 28. februar 2024 om at DNB Bank ASA har rettslig grunnlag for å lagre identitetsdokument med ansiktsbilde.
Sakens bakgrunn
A mottok i 2022 et krav fra DNB Bank om å legitimere seg på nytt med gyldig legitimasjonsdokument. A unnlot å legitimere seg og banken avsluttet kundeforholdet. A klaget banken inn for Finansklagenemnda og anførte at banken var uberettiget til å kreve pass eller annen legitimasjon med ansiktsbilde.
A henvendte seg parallelt til Datatilsynet i e-post 5. juli 2022 og fremsatte et generelt spørsmål om hva Datatilsynet mente om «nødvendigheten av gjeldende hvitvaskingsforskrift § 6-2 i forhold til personvernforordningen artikkel 9 nr. 2».
Finansklagenemnda ga ikke A medhold i vedtak 16. september 2022. Finansklagenemnda viste blant annet til hvitvaskingsloven kapittel 4, herunder § 12 om innhenting av legitimasjon til bekreftelse av kundens identitet og konkluderte med at krav om legitimering falt innenfor det banken kunne kreve som ledd i kundetiltak og løpende oppfølging. Om forholdet til personvernforordningen sier Finansklagenemnda at «personvernregler i seg selv ikke er til hinder for innhenting og lagring av slik legitimasjon som banken krever i denne saken».
A henvendte seg på nytt til Datatilsynet 26. september 2022 og klaget på DNB Banks lagring av legitimasjonsdokument med ansiktsbilde, som han mente var ulovlig etter personvernforordningen.
Datatilsynet avsluttet saken i brev til A 27. april 2023 uten å foreta nærmere undersøkelser og uten å ta stilling til om DNB Bank hadde brutt personopplysningsloven.
Samme dag sendte Datatilsynet også et annet brev til A der tilsynet svarte på spørsmålet A stilte i brev 5. juli 2022 om forholdet mellom hvitvaskingsforskriften § 6-2 og reglene i personvernforordningen artikkel 9. I brevet redegjør Datatilsynet for hva en biometrisk opplysning er og opplyser at banker og andre foretak som er underlagt hvitvaskingsreglene kan ha hjemmel til å behandle særlige kategorier av personopplysninger i personvernforordningen artikkel 9 nr. 2 bokstav g, jf. hvitvaskingsforskriften § 6-1.
A klaget rettidig på Datatilsynets avgjørelse om å avslutte saken 13. mai 2023. Datatilsynet vurderte klagen, men opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 2. juni 2023. I vedtak 5. desember 2023 opphevet nemnda Datatilsynets vedtak og returnerte saken til Datatilsynet for realitetsbehandling.
Datatilsynet kontaktet DNB Banks personvernombud på telefon 19. februar 2024 og fikk bekreftet at banken lagrer en kopi av kundens ID-dokumenter i pdf-format.
Datatilsynet fattet slikt vedtak 28. februar 2024:
«DNB Bank ASA, org. nr. 984 851 006, har rettslig grunnlag til å lagre en kopi av ditt identitetsdokument med ansiktsbilde, jf. personvernforordningen artikkel 6 nr. 1 bokstav c, jf. hvitvaskingsforskriften § 6-2, jf. hvitvaskingsforskriften § 4-3.»
A klaget rettidig på Datatilsynets avgjørelse 7. mars 2024. Datatilsynet behandlet klagen og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 10. april 2024. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. DNB Bank ga sine merknader i brev til nemnda 10. mai 2024. A ga sine merknader i e-post 22. mai 2024.
Saken ble behandlet i nemndas møte 18. desember 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Utredningsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i korte trekk
DNB Bank har hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav c (nødvendig for å oppfylle en rettslig forpliktelse), jf. hvitvaskingsforskriften § 6-2, jf. hvitvaskingsforskriften § 4-3, til å innhente og lagre en kopi av As identitetsdokument med ansiktsbilde.
Ethvert ansiktsbilde av en person er ikke å anse som en biometrisk opplysning. Det er først dersom ansiktet leses av digitalt og gjøres om til bestemte data, at det er tale om behandling av biometriske opplysninger, jf. vilkåret «en særskilt teknisk behandling» i personvernforordningen artikkel 4 nr. 14, jf. fortalepunkt 51. En alminnelig kopi av et legitimasjonsdokument med ansiktsbilde, vil i utgangspunktet ikke være en biometrisk opplysning. Den elektroniske brikken i passet inneholder imidlertid biometriske opplysninger om passets innehaver.
DNB har opplyst at banken mottar en pdf-fil fra BankID som bekrefter kundens identitet inkludert ansiktsbilde. Denne pdf-filen blir lagret i banken. Datatilsynet legger til grunn at DNB Bank ikke lagrer biometriske opplysninger fra den elektroniske brikken i passet, og at lagringen av en kopi av As ID-dokument ikke innebærer behandling av biometriske opplysninger. DNB trenger dermed ikke hjemmel i artikkel 9 nr. 2 for den aktuelle behandlingen, og det er tilstrekkelig at banken har rettslig grunnlag for behandlingen i artikkel 6 nr. 1.
I den grad lagring av kopi av identitetsdokument med ansiktsbilde for formål som er dekket av hvitvaskingsreglene, også innebærer behandling av andre særlige kategorier som nevnt i personvernforordningen artikkel 9 nr. 1, vil banken ha hjemmel til dette i artikkel 9 nr. 2 bokstav g, jf. hvitvaskingsforskriften § 6-1.
As syn på saken i korte trekk
Datatilsynet misforstår når tilsynet vurderer at et ansiktsbilde ikke er biometrisk informasjon. Det er vitterlig biometrisk informasjon (kroppslige kjennetegn) som utgjør et ansiktsbilde. Et ansiktsbilde er kanskje ikke personinformasjon, men når banken har knyttet ansiktsbildet til ham så er det personinformasjon. Lagring av personinformasjon på en datamaskin er behandling av personinformasjon i personvernforordningens forstand.
Datatilsynet tar ikke stilling til den behandlingen av personinformasjon som han klaget på. Det er ikke tilstrekkelig at tilsynet vedtar at banken har et rettslig grunnlag i artikkel 6 nr. 1 bokstav c. Banken må også oppfylle vilkårene for å behandle personopplysninger i artikkel 9, og Datatilsynet skulle derfor samtidig ha fattet vedtak om forbudet i artikkel 9 nr. 1.
Datatilsynets vedtak er ugyldig, da tilsynet har gått ut over sin myndighet. Banken har kun påberopt seg hvitvaskingslovens regler, og ikke behandlingsgrunnlag etter personvernforordningen, heller ikke etter artikkel 6 nr. 1 bokstav c. Datatilsynet har valgt behandlingsgrunnlag på vegne av banken.
Datatilsynet har ikke i tiden etter Personvernnemndas avgjørelse foretatt ytterligere undersøkelser slik tilsynet legger til grunn.
Fordi ansiktsbildet inneholder informasjon om hans etniske og rasemessige opprinnelse, behandler banken særlige kategorier opplysninger, i strid med forbudet i artikkel 9 nr. 1.
Det er feil at hans kundeforhold med DNB ble sagt opp. Han ble tvunget til å la DNB Bank kopiere og lagre hans legitimasjonsbevis med ansiktsbilde, og er fortsatt kunde i banken.
Nemnda skal som første instans ikke ta stilling til uttalelsene fra DNB bank. Bankens uttalelser er framsatt for sent og skulle vært behandlet av tilsynet i vedtaket han klagde på.
DNB Banks syn på saken i korte trekk
DNB har behandlingsgrunnlag for behandlingen av As legitimasjonsdokumentasjon i personvernforordningen artikkel 6 nr. 1 bokstav c, med supplerende rettsgrunnlag i hvitvaskingsloven, jf. artikkel 6 nr. 3.
Etter hvitvaskingsloven kapittel 4 skal banker gjennomføre kundetiltak ved etablering av kundeforhold og løpende oppfølging mens kundeforholdet består, herunder innhenting av legitimasjon for bekreftelse av kundens identitet, jf. lovens § 12 (2). Dokumentene skal oppbevares i fem år etter at kundeforholdet er avsluttet, jf. lovens § 30. Det er videre krav om at kundetiltak skal gjennomføres jevnlig, jf. lovens § 24. Forpliktelsene er presisert i hvitvaskingsforskriften. Forskriftens § 6-2 pålegger blant annet banker å oppbevare kopi av legitimasjonsdokumenter som nevnt i hvitvaskingsforskriften § 4-3, hvor det framgår at gyldig legitimasjon skal inneholde ansiktsbilde.
DNB Banks lagring av en kopi av legitimasjonsdokumentasjon i pdf-format innebærer ikke behandling av biometriske opplysninger, jf. definisjonen i artikkel 4 nr. 14.
At bilder i seg selv ikke er biometriske opplysninger, følger også av fortalepunkt 51 og er bekreftet i Personvernnemndas egen praksis (PVN-2021-10). Av disse grunner er det heller ikke tale om behandling av en særlig kategori opplysning, jf. artikkel 9 nr. 1. Dette gjelder iallfall et bilde av så dårlig kvalitet som i den aktuelle saken.
DNB Bank bruker ikke bildet til å utlede forhold som faller innenfor virkeområdet til artikkel 9 nr. 1, og lagringen innebærer ikke en behandling av særlig kategorier personopplysninger – uavhengig av om det er en teoretisk mulighet for å utlede noens etniske bakgrunn.
Subsidiært har banken uansett behandlingsgrunnlag for lagringen i artikkel 9 nr. 2 bokstav g. Behandlingen er nødvendig for at DNB skal kunne oppfylle sine forpliktelser etter hvitvaskingsregelverket, og forfølger da viktige allmenne interesser (motvirke økonomisk kriminalitet). At hvitvaskingsregelverket gir banken hjemmel til å behandle særlige kategorier personopplysninger, fremgår uttrykkelig av hvitvaskingsforskriften § 6-1 (1).
Personvernnemndas vurdering
Behandling av personopplysninger må ha et rettslig grunnlag etter personvernforordningen artikkel 6.
DNB Bank har en lovpålagt plikt til å undersøke og rapportere transaksjoner som kan mistenkes å være knyttet til hvitvasking eller terrorfinansiering, jf. hvitvaskingsloven § 26. Etter hvitvaskingsforskriften § 6-2 plikter banken å oppbevare kopier av legitimasjonsdokumenter med blant annet fotografi som nevnt i hvitvaskingsforskriften § 4-3.
Nemnda legger i likhet med Datatilsynet til grunn at DNB Bank har hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav c (nødvendig for å oppfylle en rettslig forpliktelse), med supplerende rettsgrunnlag i hvitvaskingsforskriften til å innhente og lagre en kopi av As identitetsdokument med ansiktsbilde, jf. artikkel 6 nr. 3.
Noen særlige kategorier av personopplysninger er i utgangspunktet forbudt å behandle. Det gjelder blant annet biometriske opplysninger med det formål å entydig identifisere en fysisk person. Dersom slike personopplysninger skal behandles, må ett av unntakene i artikkel 9 nr. 2 bokstav a til j komme til anvendelse, i tillegg til det alminnelige behandlingsgrunnlaget i artikkel 6.
Biometriske opplysninger er definert slik i artikkel 4 nr. 14:
«personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person, f.eks. ansiktsbilder eller fingeravtrykksopplysninger,»
I forordningens fortalepunkt 51 presiseres det blant annet:
«[…] Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. […].»
Det europeiske personvernrådet har i sin veileder «Guidelines 3/2019 on processing of personal data through video devices», version 2.0, side 19 lagt til grunn at det først er biometriske opplysninger dersom det gjennomgås en øvrig teknisk behandling (vanligvis gjennom maler som opprettes ved å hente ut hovedtrekk fra biometrisk rådata, for eksempel ansiktsmålinger).
Nemnda legger til grunn at ansiktsbildet DNB Bank innhenter og lagrer ikke stammer fra en slik særskilt teknisk behandling, og bildet utgjør dermed ikke biometriske opplysninger i forordningens forstand, jf. artikkel 4 nr. 14.
Nemnda er etter dette enig med Datatilsynet i at bankens lagring av kopi av legitimasjonsdokument med ansiktsbilde i pdf-format ikke innebærer en behandling av biometriske opplysninger som krever et særskilt behandlingsgrunnlag i artikkel 9 nr. 2.
A anfører også at ansiktsbildet inneholder informasjon om hans etniske og rasemessige opprinnelse og at bankens behandling dermed strider mot forbudet i artikkel 9 nr. 1. Etter nemndas vurdering anses ikke fotografiet som behandling av særlige kategorier personopplysninger.
Nemnda viser til forordningens fortalepunkt 51 der det presiseres at fotografier som viser personer, ikke på generelt grunnlag vil bli ansett som behandling av særlige kategorier opplysninger. Nemnda viser videre til at Personvernrådet i sin veileder 3/2019 på side 17 legger til grunn at kameraovervåking som fanger opp en registrert som bruker briller eller rullestol, ikke i seg selv anses for å være behandling av særlig kategori personopplysninger. Dette støttes også av uttalelser i Prop. 56 LS (2017-2018) side 129, hvor det legges til grunn at det kun er overvåking som har til formål å avdekke eller fange opp opplysninger om etnisitet, som må anses som behandling av særlige kategorier personopplysninger. Selv om disse kildene direkte gjelder kameraovervåking er nemnda enig med DNB Bank i at de er relevante også for behandling av stillestående bilder, som i denne saken. Tilsvarende følger av Skullerud m.fl., Personvernforordningen, Lovkommentar til artikkel 9, (per 1. april 2023, juridika.no) hvor fortalepunkt 51 omtales.
Hvitvaskingsforskriften § 6-1 har også regler om behandling av særlige kategorier personopplysninger og opplysninger om straffedommer og lovovertredelser. Bestemmelsens nr. 1 lyder:
«Rapporteringspliktige kan behandle personopplysninger omfattet av personvernforordningen artikkel 9 og 10 når det er nødvendig for å gjennomføre forpliktelsene i hvitvaskingsloven med forskrift.»
Nemnda slutter seg også til Datatilsynets vurdering om at i den grad lagring av kopi av identitetsdokument med ansiktsbilde for formål som er dekket av hvitvaskingsreglene, også innebærer behandling av andre særlige kategorier som nevnt i personvernforordningen artikkel 9 nr. 1, har banken hjemmel til dette i artikkel 9 nr. 2 bokstav g (nødvendig av hensyn til viktige allmenne interesser), jf. hvitvaskingsforskriften § 6-1.
A har ikke fått medhold i sin klage.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak opprettholdes.
Oslo, 18. desember 2024
Mari Bø Haugstad
Leder