Fingeravtryck vid inpassering

Kunder

Fråga:

Jag har frågor kring användning av fingeravtryck vid inpassering. Vi vill använda delar av fingeravtryck för att verifiera att rätt person utnyttjar det personliga säsongskortet till en djur- och nöjespark. Säsongskorten kontrolleras idag i biljettläsare så att innehavare av säsongskort slipper köa till kassorna, såsom den som köper enkelbiljett får göra. Parken har dock uppmärksammat att det förekommer omfattande fusk vid inpasseringen med säsongskort genom att andra personer än kortinnehavaren utnyttjar kortet.

Vi vill veta vad som gäller både vid situationen att fingeravtrycket lagras på själva säsongskortet och situationen att fingeravtrycket lagras i en databas hos den personuppgiftsansvarige.

Svar:

Behandling av biometriska personuppgifter, t.ex. fingeravtryck, är ett relativt nytt fenomen och Datainspektionen har än så länge fattat ganska få beslut på området. Behandlingen innebär generellt sett ett intrång i den enskildes personliga integritet. Många uppfattar också behandling av biometriska uppgifter som känslig, inte minst när det handlar om barns uppgifter. Vi har därför en restriktiv syn på behandling av biometriska uppgifter i syfte att autentisera personer, särskilt om uppgifterna behandlas i vardagliga situationer. Om uppgifterna används till att identifiera, snarare än att autentisera, personer ställs ännu högre krav på behandlingen.

Nedan redogör vi för ett par ärenden som har likheter med den situation som du har beskrivit i din förfrågan.

Fingeravtryck lagrat lokalt i kort som den registrerade förfogar över

Det ärende som mest liknar den av dig beskrivna situationen gällde ett gym som använde fingeravtryck för att förhindra att obehöriga tog sig in i lokalerna (dnr 535-2007). Den enskildes fingeravtryck lagrades endast på dennes medlemskort. För att låsa upp dörren till gymmet drog medlemmen sitt kort genom kortläsaren och lät läsa av sitt fingeravtryck.

Vi fann att behandlingen av fingeravtryck omfattades av personuppgiftslagen. De s.k. hanteringsreglerna i lagen ansågs dock inte vara tillämpliga, eftersom behandlingen inte var strukturerad, dvs. inte ingick i någon databas eller något register, utan endast lagrades på respektive medlemskort. Avgörande för om behandlingen av fingeravtryck var tillåten var därför om den kunde anses som kränkande eller inte.

Vi kom fram till att behandlingen inte kunde anses kränkande. Detta mot bakgrund av att uppgifterna enbart lagrades på det kort som medlemmen själv förfogade över och att risken för missbruk därmed var lägre än om uppgifterna lagrades i en central databas. Fingeravtrycken användes dessutom endast för autentisering och inte för att identifiera medlemmar. Medlemmen hade också lämnat ett särskilt godkännande, dvs. samtyckt, till att fingeravtryck behandlades för det aktuella ändamålet.

Fingeravtryck lagrat i en central databas

Ett annat ärende (dnr 1601-2004) har överklagats och slutligen avgjorts av Regeringsrätten (mål nr 6588-05). En gymnasieskola använde s.k. tallriksautomater med fingeravläsning i kombination med en kod för att avgöra om eleven i fråga var behörig att äta i matsalen.

Regeringsrätten ansåg att behandlingen av uppgifterna var strukturerad i och med att personuppgifter fortlöpande lagrades i databaser i syfte att säkerställa elevernas identitet. Det innebar att alla de s.k. hanteringsreglerna i personuppgiftslagen var tillämpliga på behandlingen.

Regeringsrätten fann vidare att behandlingen inte stred mot de grundläggande kraven i 9 § personuppgiftslagen - bl.a. att de personuppgifter som behandlades var adekvata och relevanta i förhållande till ändamålet med behandlingen och att inte fler uppgifter än nödvändigt behandlades. Detta med hänsyn till att relativt få uppgifter om varje elev registrerades, att det rörde sig om delar av fingeravtryck samt att det fanns fasta rutiner kring gallring och åtkomst till uppgifterna.

Regeringsrätten ansåg dock att behandlingen endast kunde vara tillåten under förutsättning att de registrerade samtyckte till den. Man beaktade att uppgifterna fanns i databaser under förhållandevis lång tid och att särskilda integritetshänsyn därför påkallades samt att identifieringen av eleverna torde kunna tillgodoses med andra metoder.

Särskilt viktigt att beakta i ert fall

Att minimera integritetsintrånget

Vid all behandling av personuppgifter måste man beakta om det är möjligt att uppnå det avsedda ändamålet på ett mindre integritetskränkande sätt. Lagring av biometriska uppgifter i en central databas medför större risker för missbruk av uppgifterna och innebär ett allvarligare intrång i den personliga integriteten. Behandling av barns biometriska uppgifter påkallar särskild försiktighet ur integritetssynvinkel. Sådan behandling kan leda till att barnen blir mindre medvetna om de risker med personuppgiftsbehandling som de eventuellt utsätts för senare i livet.

Ju längre uppgifterna sparas, desto större är också intrånget i den personliga integriteten. Om man i ert fall skulle välja att lagra fingeravtrycken i en central databas skulle de behöva lagras under en hel säsong för att uppfylla ändamålet med behandlingen. Vi anser att detta i sammanhanget är lång tid.

Biometriska uppgifter innehåller tyvärr ofta mer information än vad som är nödvändigt för verifiering. Den biometriska profilen bör tekniskt konstrueras så att onödiga uppgifter utesluts. Tekniken bör också utformas på ett sådant sätt att den ursprungliga biometriska informationen inte kan återskapas. Det är således positivt i integritetsperspektiv att ni avser att endast använda delar av fingeravtryck och att det inte går att återskapa avtrycken.

Även om alternativet med central lagring av fingeravtrycken skulle kunna utformas på ett sådant sätt att behandlingen är tillåten enligt personuppgiftslagen förordar Datainspektionen det alternativ som innebär att fingeravtrycken uteslutande lagras i utrustning som den enskilde själv förfogar över.

Information och samtycke

Om man väljer att lagra fingeravtrycken i en databas, och behandlingen därmed anses vara strukturerad, är den personuppgiftsansvarige skyldig att självmant och på begäran informera de registrerade om behandlingen (23-26 §§ personuppgiftslagen).

Vad informationen bör innehålla kan du läsa om i våra allmänna råd Information till registrerade.

Sådan information måste dessutom lämnas för att ett samtycke till behandlingen ska anses giltigt (3 § personuppgiftslagen). Samtycket måste också vara frivilligt för att vara giltigt. För att samtycket ska anses frivilligt bör det finnas ett alternativt tillvägagångssätt. I ert fall skulle det kunna vara att innehavare av säsongskort kan välja att köa till biljettkassorna för en ma-nuell kontroll.

Lagen ställer inga krav på att ett samtycke måste vara skriftligt. Men eftersom det är den personuppgiftsansvarige som har bevisbördan för att samtycke verkligen har lämnats är det lämpligt att på något sätt dokumentera samtycket.

Det finns inga särskilda bestämmelser i lagen om från vilken ålder unga personer själva kan samtycka till viss behandling, men Datainspektionen brukar ha 15 år som tumregel. En person som kan förstå informationen om vad en behandling innebär kan också lämna ett rättsligt giltigt samtycke. För yngre personer som inte själva kan tillgodogöra sig informationen måste vårdnadshavaren ge sitt samtycke. Samtycke bör i er situation även kunna lämnas av annan medföljande vuxen som agerar på vårdnadshavaren uppdrag, exempelvis en mor- eller farförälder.

Vi förespråkar att ni lämnar information, inhämtar de registrerades samtycke och erbjuder ett alternativt tillvägagångssätt för verifiering även om ni väljer att uteslutande lagra fingeravtrycken i utrustning som den enskilde själv förfogar över. I annat fall kan behandlingen komma att anses som kränkande, och således vara otillåten enligt personuppgiftslagen.

Säkerhetsåtgärder

Oavsett hur man väljer att bygga upp systemet måste lämpliga tekniska och organisatoriska åtgärder vidtas för att skydda personuppgifterna (31 § personuppgiftslagen). Fel som uppstår i biometriska system kan få allvarliga konsekvenser för individen. Användningen av sådana system kan ge upphov till den felaktiga inställningen att identifiering eller autentisering/verifiering av den registrerade är riktig. Det kan vara svårt för en registrerad att bevisa motsatsen.

Läs mer om säkerhetsåtgärder i våra allmänna råd Säkerhet för personuppgifter.

(Mars 2010)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.