Personuppgiftslagen och biometriska uppgifter
Ur Lov&Data nr 97, mars 2009, s. 10-11.
Personuppgiftslagen och biometriska uppgifter
Regeringsrättens dom 2008-12-16, mål nr 6588-05. Behandling av vissa biometriska uppgifter i syfte att identifiera elever i en skolmatsal har inte ansetts strida mot de grundläggande kraven för behandling av personuppgifter i 9 § personuppgiftslagen. Behandlingen har emellertid på grund av dess närmare utformning inte ansetts kunna ske efter en intresseavvägning enligt 10 § punkt f) personuppgiftslagen.
Bakgrund
Uddevalla kommun använde sig av tallriksautomater med begränsad fingeravtrycksavläsning i syfte att identifiera gymnasieelever som var behöriga att äta i skolmatsalen. För att få en tallrik måste eleven ange en personlig fyrsiffrig kod samt låta läsa av sitt finger. Cirka 30 mätpunkter skannades in från ett av elevens finger. Mätpunkterna lagrades tillsammans med den personliga koden i en separat databas. I en annan databas lagrades namn, klass, personlig kod, max antal måltider samt antal förbrukade måltider. Uppgifterna lagrades i en dator som enbart användes för detta ändamål och som förvarades i ett särskilt personalutrymme. Endast behöriga personer kunde efter personlig inloggning komma åt uppgifterna. Alla elever registrerades i årskurs ett och fanns kvar i registret under sin tid på skolan, dvs. normalt tre år. I augusti varje år togs avgående elever bort från registret.
Datainspektionen och underrätterna
Datainspektionen beslutade att förelägga kommunen att upphöra med behandlingen eftersom den enligt inspektionen stred mot de grundläggande kraven i 9 § e) och f) personuppgiftslagen. Av punkten e) framgår att den personuppgiftsansvarige ska se till att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen. Av punkten f) följer att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Även om det i ärendet inte var fråga om att registrera fullständiga fingeravtryck och de biometriska uppgifterna inte var att betrakta som känsliga enligt personuppgiftslagen menade Datainspektionen att registreringen kunde uppfattas som ett intrång i den personliga integriteten. Vidare framhölls att kontrollen kunde genomföras på ett för eleverna mindre integritetskänsligt sätt utan att deras fingrar lästes av.
Datainspektionen hänvisade särskilt till att den s.k. artikel 29-gruppen antagit ett arbetsdokument om biometri. I detta betonas att en fara i samband med biometrisk databehandling är att en ökad användning av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksamma på hur behandlingen av dessa uppgifter kan påverka deras vardag. Gruppen anger som exempel att användningen av biometri i skolbibliotek kan det leda till att barnen blir mindre medvetna om de risker rörande dataskydd som de eventuellt utsätts för senare i livet.
Uddevalla kommun överklagade beslutet.
Länsrätten i Stockholms län avslog överklagandet. Länsrätten fann att ändamålet med behandlingen av de partiella fingeravtrycken var att identifiera och registrera de elever som fick äta mat som serverades i matsalen. Länsrätten menade att detta ändamål borde kunna tillgodoses på ett enklare och mindre integritetskränkande sätt. De behandlade uppgifterna kunde därmed inte anses vara adekvata, relevanta och nödvändiga i förhållande till ändamålet med behandlingen.
Uddevalla kommun överklagade domen.
Kammarrätten i Stockholm biföll överklagande och upphävde länsrättens dom och Datainspektionens beslut. Mot bakgrund av vad som framkommit om systemet med fingeravtrycksavläsning fann Kammarrätten att Uddevalla kommun uppfyllde de grundläggande kraven på behandling av personuppgifter i 9 § personuppgiftslagen. Kammarrätten betonade särskilt att artikel 29-gruppens resonemang inte förändrade denna bedömning, särskilt då det visserligen var fråga om barn men ändå gymnasieelever som var omkring 15 år och äldre.
Kammarrätten prövade därefter om behandlingen kunde ske med stöd av 10 § f) personuppgiftslagen eller om det krävdes samtycke från den registrerade för att den skulle få utföras. Kammarrätten fann att den aktuella behandlingen inte utgjorde något nämnvärt intrång i den personliga integriteten, varför kommunens intresse av ett smidigt och enkelt system för att kontrollera att endast de elever som betalat måltidavgiften fick del av skolmåltiderna vägde tyngre än elevernas intresse av skydd mot kränkning av deras personliga integritet.
En ledamot var skiljaktig och fann att behandlingen inte kunde ske efter en intresseavvägning. Utan att resonemanget utvecklades närmare konstaterade ledamoten att elevernas intresse av skydd för den personliga integriteten vägde tyngre än kommunens intresse att behandla uppgifterna.
Datainspektionen överklagade domen.
Regeringsrätten
Regeringsrätten konstaterade inledningsvis att den aktuella behandling inte omfattades av den förenklade missbruksreglering i 5 a § personuppgiftslagen som infördes i januari 2007. Det aktuella systemet med tallriksautomater innebar att personuppgifter fortlöpande lagrades i databaser i syfte att identifiera eleverna. Enligt Regeringsrätten var det därför inte tal om en behandling av personuppgifter i ostrukturerat material. Regeringsrätten hade därför att pröva om Uddevalla kommun uppfyllde kraven i såväl 9 som 10 §§ personuppgiftslagen.
Efter att ha redogjort för den aktuella behandlingen anförde Regeringsrätten: "Det är således relativt få uppgifter som registreras om varje elev. Det rör sig om partiella fingeravtryck och det finns fasta rutiner kring avregistrering och beträffande vilka som har tillgång till uppgifterna. Det har inte framkommit annat än att uppgifterna är nödvändiga för att ändamålet med behandlingen ska uppnås och det förhållandet att det är fråga om biometriska data utesluter inte att uppgifterna kan anses adekvata och relevanta i förhållande till det aktuella ändamålet. Med hänsyn till det anförda finner Regeringsrätten att behandlingen inte strider mot de grundläggande kraven i 9 § personuppgiftslagen."
När det gällde intresseavvägningen yttrade Regeringsrätten följande: "Behandlingen av biometriska uppgifter i identifieringssyfte kan av många uppfattas som känslig. Det nu aktuella systemet bygger på att uppgifterna finns i databaser som är tillgängliga för kommunen och att uppgifterna lagras under en förhållandevis lång tid. Den tekniska utformningen av systemet är alltså sådan att behandlingen får anses påkalla att särskilda integritetshänsyn tas. Mot den bakgrunden och då kommunens intresse av att identifiera eleverna torde kunna tillgodoses även med andra metoder finner Regeringsrätten att behandlingen kan vara tillåten endast under förutsättning att samtycke inhämtas"
Ett regeringsråd var skiljaktigt och fastställde kammarrättens dom. Regeringsrådet fäste vid sin intresseavvägning enligt 10 § f) stor vikt vid regeringens uttalanden i samband med införandet av missbruksregleringen i 5 a §. Regeringen för i detta sammanhang ett resonemang om vad som ska anses utgöra en sådan kränkning av den personliga integriteten som gör att en behandling är otillåten även om den sker i ostrukturerad form. Det skiljaktiga regeringsrådet anförde att de aktuella biometriska uppgifterna, bl.a. mot bakgrund av regeringens uttalanden, framstod som skäligen harmlösa. Mot bakgrund av att majoriteten av eleverna accepterat systemet och skolans hantering av uppgifterna fann hon att den aktuella personuppgiftsbehandlingen inte påkallade några särskilda integritetshänsyn.
Kommentar
Det finns ett ökande intresse för att använda olika typer av biometriska lösningar för identifiering. Flera lösningar är idag relativt mogna och erbjuds på marknaden till överkomliga priser. Mot denna bakgrund är det intressant hur personuppgiftslagen ska tillämpas på behandlingen av biometriska uppgifter.
Regeringsrättens dom visar att användning av biometriska lösningar kan förenas med de grundläggande kraven i personuppgiftslagen. Datainspektionens mer principiella uttalande kunde uppfattas som att sådana lösningar inte fick användas om det fanns alternativa lösningar som innebar mindre integritetsrisker. Regeringsrättens dom innebär dock att en helhetsbedömning i det enskilda fallet ska göras. I detta sammanhang kan t.ex. de aktuella uppgifternas känslighet, vilka som har tillgång till uppgifterna och lagringstiden beaktas.
Regeringsrättens dom slår fast att samtycke som huvudregel krävs för att biometriska lösningar ska få användas. Regeringsrätten lämnar emellertid genom sina resonemang vissa öppningar för att en behandling i andra fall kan vara tillåten efter en intresseavvägning. Rätten nämner särskilt att det aktuella systemet bygger på att uppgifterna är tillgängliga för kommunen och på att uppgifterna lagras under en förhållandevis lång tid. Mer tillfälliga behandlingar av biometriska uppgifter eller behandlingar i system där uppgifterna inte på samma sätt är åtkomliga för den personuppgiftsansvarige kan alltså i vissa fall vara tillåtna efter en intresseavvägning.