Personvernnemndas avgjørelse av 8. mars 2007 (Jon Bing, Gro Hillestad Thune, Leikny Øgrim, Siv Bergit Pedersen, Jostein Halgunset, Hanne I Bjurstrøm, Tom Bolstad)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra Esso Norge på Datatilsynets vedtak om at Esso Norge må avslutte bruken av fingeravtrykk ved adgangskontroll til tankanlegg.
2 Saksgang
Esso Norge AS søkte 15.9.2005 om konsesjon for behandling av fingeravtrykk i tilknytning til adgangskontroll ved fire forskjellige tankanlegg, i Fredrikstad, Tønsberg, Trondheim og Bergen. Esso Norge hadde utarbeidet en samtykkeerklæring og en ”Safety Policy”.
I brev av 5.10.2005 opplyste Datatilsynet at konsesjonssøknaden ikke ga tilstrekkelige opplysninger for at Datatilsynet kunne vurdere lovligheten av tiltaket.
I brev av 14.10.2005 redegjør Esso Norge nærmere for den planlagte bruken av fingeravtrykk. I brev av 23.11.2005 opplyser Datatilsynet at tilsynet vil se samlet på en rekke saker om bruk av fingeravtrykk, blant annet for å vurdere å innføre konsesjonsplikt, jf personopplysningsloven § 33, annet ledd.
I brev av 16.2.2006 fattet tilsynet vedtak om at Esso Norge ikke oppfylte vilkårene i personopplysningslovens § 12 for bruk av fingeravtrykk i adgangskontroll.
Vedtaket ble påklaget i brev av 23.2.2006. Datatilsynet var på befaring på Esso Norges tankanlegg på Slagentangen ved Tønsberg 23.3.2006.
Personvernnemnda mottok saken fra Datatilsynet 1.9.2006. Klager ble orientert om dette i brev fra nemnda 11.9.2006.
3 Faktum
Esso Norge ønsket å bruke fingeravtrykk i tilknytning til adgangskontroll ved fire forskjellige tankanlegg. Tillatelse til å registrere fingeravtrykk skulle bli innhentet og de ansatte som samtykket skulle skrive under på et eget samtykkeskjema.
Fingeravtrykksleseren skulle bli plassert ved tankanleggenes adgangsporter. Bruken av fingeravtrykk skulle sikre at kun autorisert og trenet personell ble gitt adgang til anlegget.
Datatilsynet fattet følgende vedtak:
Datatilsynet legger til grunn at man ikke vil innføre de planlagte fingeravtrykksløsningene og at enhver bruk av systemene som eventuelt allerede er igangsatt snarest avsluttes
4 Anførslene
Klager er enig i at personopplysningsloven § 12 kommer til anvendelse, men er ikke enig i at den planlagte bruken av fingeravtrykk strider mot paragrafen. Formålet med fingeravtrykksløsningen er identifisering. Dette formålet endres ikke av at man også benytter adgangskort, da begge deler er elementer i identifiseringen. Kun adgangskort er ikke tilstrekkelig av sikkerhetshensyn.
Det opplyses at systemet er levert av Toptech Systems Inc, en amerikansk automasjonsleverandør. Leverandør og løsning er besluttet sentralt av ExxonMobil som eier Esso Norge. Det er meningen at den samme løsning skal benyttes i ExxonMobils tankanlegg over hele verden. Systemet blir installert til å ivareta all styring og kontroll på tankanlegget, herunder:
- Adgangskontroll
- Åpner porter for inn- og utkjøring
- All styring rundt opplasting av tankbil
- Systemet registrerer utlastede volumer og rapporterer til faktureringssystemet
- Systemet holder kontroll på lagrede volumer
ID-kort kombinert med fingeravtrykk er valgt i adgangskontrollen av flere årsaker. Det er viktig at kun autoriserte personer får adgang til anlegget fordi det er store mengder brennbart materiale samlet der. Det vil ha sikkerhetsmessige aspekter dersom de brannfarlige varene kommer i uautoriserte hender. Essos terminaler er underlagt ISPS kode (International Ship and Port Security Code) og godkjent av Kystdirektoratet. Det vises til de økonomiske verdier produktene har og at anlegget benyttes på alle tider av døgnet.
Selskapet tillater at personer som ikke samtykker til bruk av fingeravtrykk benytter en PIN-kode i stedet, selv om en PIN-kodeløsning ikke er den selskapet primært ønsker.
Det brukes en template beregnet ut fra syv punkter i fingeren som lagres separat fra personelldata i en egen database. Kortnummeret fra adgangskortet gir en lenke mellom databasene.
Klager anfører at bruk av fingeravtrykk er nødvendig fordi det gis direkte adgang til områder hvor det lagres og håndteres brannfarlig vare (bensiner). Sikker identifisering er nødvendig for å få adgang. Man må være helt sikker på at vedkommende som gis adgang er godkjent og innehar nødvendige kunnskaper til å ferdes alene på området.
Klager anfører at den overordnede begrunnelse for bruk av fingeravtrykk er relatert til sikkerhetsmessige aspekter, herunder å forhindre at store volum kommer på avveie. Virksomhetene er underlagt krav til sikkerhet og har en godkjenning fra Kystdirektoratet som forutsetter at tankanlegget har et godt og tilfredsstillende system for adgangskontroll slik at uautorisert adgang ikke skal forekomme. Fingeravtrykk er en bedre metode for å redusere mulig terrortrussel.
Både adgangskort og kode kan benyttes av uvedkommende. Bruk av fingeravtrykk hindrer misbruk. Godkjent adgang gir tilgang på uttak av produkter som kan være farlige i uautoriserte hender og som også har stor økonomisk verdi. Adgang til anlegget gis hele døgnet og vedkommende kan derfor være helt alene innenfor anlegget. Tankanlegget er ubemannet i den tiden hvor hovedtyngden av hentingen foregår, det vil si mellom kl 04.00 og 10.00. Tankingen skjer ved selvbetjening.
Klager anfører til slutt at tilsvarende bruk av fingeravtrykk er godkjent i Belgia og Nederland.
5 Datatilsynets vurdering
Det foreligger ingen uenighet mellom klager og Datatilsynet om at fingeravtrykk/template er et entydig identifikasjonsmiddel og bruken skal følge reglene i personopplysningsloven § 12.
Bestemmelsen i personopplysningsloven § 12 har to kumulative vilkår;
- det er saklig behov for sikker identifisering
- metoden er nødvendig for å oppnå slik identifisering
Datatilsynet viser i den forbindelse til notat om endring av personopplysningsloven § 12 som er oversendt Justisdepartementet og samlet oversendelsesbrev til Personvernnemnda.
Datatilsynet finner at ordet ”identifisering” skal tolkes strengt, slik at bruken av entydige identifikasjonsmidler som legitimasjon eller i tilknytning til verifisering av identitet/autentisering ikke er tillatt.
Det er Datatilsynets oppfatning at klager har misforstått det første vilkåret i personopplysningsloven § 12 dit hen at et stort behov for fysisk sikring også gir et stort behov for sikker identifisering. Datatilsynet er ikke uenig med klager i at det foreligger et behov for fysisk sikring av tankanlegget mot terrorangrep og tyveri, og at god adgangskontroll kan være et ledd i slik fysisk sikring. Dette kan imidlertid oppfylles gjennom andre grep enn fingeravtrykkskontroll. For eksempel vil høye murer, øket vakthold, døgnbemanning med mer kunne ha en effekt på dette. Behovet for sikker identifisering er knyttet til spørsmålet om hvem man faktisk skal slippe inn gjennom den ordinære porten til anlegget.
Datatilsynet finner at det kan sies å foreligge et saklig behov for adgangskontrollen til tankanleggene. Adgangskontroll forutsetter at de personer som har rettmessig adgang gjenkjennes. Tilsynet finner imidlertid at fingeravtrykket ikke benyttes til identifisering, men til autentisering etter at identifiseringen har funnet sted. Verifisering av identitet ved hjelp av fingeravtrykk er noe annet enn identifisering.
Datatilsynet mener at lovens krav til nødvendighet heller ikke er oppfylt. Det er ikke et spørsmål om bruken av fingeravtrykk gir bedre sikkerhet mot terror eller tyveri, men om bruken er nødvendig for å oppnå sikker identifisering. Det er klart uttalt i forarbeidene at entydige identifikasjonsmidler ikke skal brukes i utrengsmål. Det følger av dette at nødvendighetsvurderingen bør være streng.
Det at enkeltpersoner ofte mister kort eller glemmer PIN-kode er ikke tilstrekkelig for at bruk av fingeravtrykk skal anses nødvendig. Det er heller ikke et argument i denne sammenhengen at de det gjelder ønsker løsningen og finner den praktisk i bruk.
Datatilsynets oppfatning er at klager kan oppnå like sikker identifisering ved døgnbemannet adgangskontroll. Manuell visuell kontroll opp mot adgangsbevis er et godt alternativ til bruk av fingeravtrykk. De som ikke vil bruke fingeravtrykk skal benytte adgangskort med PIN-kode. Datatilsynet mener at dette taler for at klager faktisk har vurdert det slik at denne løsningen gir tilstrekkelig sikkerhet.
Til slutt bemerker Datatilsynet at de nasjonale tilsynsorganene i Belgia og Nederland har mottatt melding fra ExxonMobils planlagte løsning med fingeravtrykk i adgangskontrollen. Det er imidlertid ikke blitt gitt tillatelse til bruken.
6 Personvernnemndas bemerkninger
Når det gjelder svenske og danske saker vedrørende bruk av fingeravtrykk som adgangs- eller tilgangskontroll, viser nemnda til sak PVN-2006-07 (Tysvær kommune), avsnitt 7.4. I personverndirektivet finnes det ingen bestemmelse tilsvarende den norske personopplysningsloven § 12, heller ikke i svensk og dansk rett. I Sverige og Danmark benytter man derfor de vanlige reglene, tilsvarende den norske personopplysningsloven § 11 jf § 8.
6.1 Grunnkrav til behandling av personopplysninger
Etter personopplysningsloven § 11, 1. ledd litra a, jf § 8, må det foreligge et behandlingsgrunnlag før personopplysninger kan behandles. Et av behandlingsgrunnlagene som § 8 gir anvisning på er samtykke. I denne saken innhenter Esso Norge samtykke i et eget skjema med overskriften ”Tillatelse til å registrere fingeravtrykk”. Skjemaet informerer sjåfører og ansatte om hvor og hvordan fingeravtrykksleser skal brukes, og om sikkerheten i systemet. Det er opplyst at både sjåfører og de ansatte som avgir fingeravtrykk, gjør dette frivillig. Det er altså mulig å velge bruk av en PIN-kode i kombinasjon med kort i stedet for fingeravtrykk. Slike valgmuligheter viser etter nemndas syn at samtykket er reelt. Nemnda anser at vilkåret i personopplysningsloven § 8, 1. ledd jf § 2 nr 1, om frivillig, eksplisitt og informert samtykke er dermed oppfylt.
I sak PVN-2005-06 (Securitas), har nemnda uttalt seg generelt om samtykke fra arbeidstaker som behandlingsgrunn. Nemnda legger der til grunn at hovedregelen vil være at samtykke ikke kan være en tilfredsstillende behandlingsgrunn etter personopplysningsloven § 8 første alternativ. Nemnda utelukket imidlertid ikke at det kan være spesielle situasjoner der man kan bygge på samtykke. I den aktuelle sak, hvor det er opp til den enkelte ansatte å velge hvorvidt teknologien brukes, og hvor det antas å ikke ha noen negative følger for arbeidsforholdet at den velges bort, mener nemnda at samtykke er tilstrekkelig som behandlingsgrunn.
Spørsmålet er videre om de øvrige kravene i personopplysningsloven § 11 er oppfylt. Det gjelder særlig personopplysningsloven § 11 litra b og c, om at opplysningene bare brukes til formål som er saklig begrunnet i den behandlingsansvarliges virksomhet og at de ikke brukes senere til formål som er uforenelig med det opprinnelige formålet. Personvernnemnda legger til grunn at disse vilkårene også er oppfylt.
6.2 Fingeravtrykk som autentisering
I denne saken brukes et kort med magnetstripe eller mikroprosessor (saken opplyser ikke hvilken kortteknologi som er i bruk) for identifikasjon av sjåføren. Kortets kode vil – på vanlig måte – sammenlignes med en database, og kandidaten for autentisering blir valgt ut. På dette grunnlag kan systemet slå opp i en database med templater.
Templaten er dannet ved at brukeren på forhånd har registrert avtrykk av en eller flere fingrer ved å trekke fingeren over en smal skanner (optisk leser). Ved første gangs registrering trekkes som regel fingeren flere ganger inntil maskinen finner at avtrykket avleses på samme måte hver gang og godkjenner registrering.
Avtrykket behandles ved at det velges ut visse punkter fra mønsteret i fingeravtrykket etter en regel som kan variere fra enhet til enhet. Disse punktene vil ha ulike verdier alt etter utseendet til de deler av mønsteret som faller sammen med punktene.
Disse verdiene behandles så etter en regneregel (en algoritme) som danner en ”template”. Denne templaten lagres så i enheten for autentisering. Det er gjerne et lite antall punkter som velges ut, i saken er det opplyst at det benyttes 7 punkter. Dette er for få punkter til at det er mulig å regenerere fingeravtrykket ved hjelp av templaten. Om det skal være mulig, må det registreres nok punkter til at det kan regenereres et bilde – en vanlig telefaks har en oppløsning på 9000 punkter per kvadrattomme, som gir et inntrykk av hva som kreves for å lagre avtrykket som et ”bilde”. Men punktene er tilstrekkelig til at sannsynligheten for at to ulike fingrer skal generere samme template er svært små, også sammenlignet med sannsynligheten for at en uvedkommende skal finne frem til et passord eller en firesifret PIN-kode valgt av bruker.
Når en person skal få adgang til tankanlegget, trekkes fingeren over leseren på ny. Punkter registreres etter regelen, og det beregnes en verdi. Denne sammenlignes med den registrerte verdi, dvs templaten, som er valgt ut for kandidaten. For å godkjennes, må den beregnede verdien ligge innenfor en definert grense for avvik, ellers avvises forsøket på å få adgang.
I dette tilfellet skjer identifikasjon ved hjelp av et adgangskort. Vanligvis skjer autentisering ved bruk av en kode som tastes inn etter at kortet er avlest. I dette tilfellet skjer autentiseringen ved at brukeren trekker fingeren over en avleser, og den genererte templaten sammenlignes med templaten som er registrert for den autoriserte bruker av kortet. Hvis det er samsvar, vil porten åpnes så tankbilen kan kjøre inn.
Dette er en forenklet og prinsipiell fremstilling av bruken. I saken benyttes en teknikk som svarer til dette. I praksis er det både raskt og enkelt å få adgang på denne måten.
6.3 Personopplysningsloven § 12
Personopplysningsloven § 12, 1. ledd lyder:
Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.
Det følger av forarbeidene (Ot prp nr 92 (98-99) side 114, 1. spalte):
Bestemmelsen gir en generell regulering av bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data. Slike identifikasjonsmidler bør ikke benyttes i utrengsmål. Kravet til nødvendighet i første ledd vil bare være oppfylt dersom andre og mindre sikre identifikasjonsmidler, som f.eks navn, adresse og kundenummer ikke er tilstrekkelig. Det vil også ha betydning hvor viktig sikker identifisering er for den registrerte, dvs hvilke konsekvenser en forveksling kan føre til. Også samfunnets behov kan tillegges vekt.
Spørsmålet for Personvernnemnda er om § 12 kommer til anvendelse i denne saken.
Betegnelsen ”identifikasjonsmiddel” kan ha ulike tolkninger. For det første kan et identifikasjonsmiddel være ”noe” som brukes for å gjenfinne opplysninger om én enkelt, på forhånd kjent person i en stor mengde med data, typisk en database. I en database vil det være en ”nøkkel”, denne nøkkelen vil måtte være entydig, ellers vil opplysninger om flere personer kunne forveksles. Fødselsnummer er en slik entydig identifikasjonsnøkkel. For det annet kan et ”identifikasjonsmiddel” benyttes til autentisering etter at identifiseringen har funnet sted. Identifisering kan skje på en måte, for eksempel ved fødselsnummer. Når kandidaten for autentisering er funnet, skal man sikre at sannsynligheten for identitet er høy, i alle fall høyere enn den man får ved bruk av navn og fødselsdato. Påloggingsrutinen kan altså logisk deles opp i ”identifisering” og ”autentisering”.
Nemnda er i utgangspunktet av den oppfatning at fødselsnummer og fingeravtrykk ikke nødvendigvis kan sammenlignes.
Loven forutsetter at fødselsnummer kan brukes som ”entydig identifikasjonsmiddel”. Med ”entydig” sikter loven åpenbart til noe mer enn at identifikasjonen er entydig i forhold til det enkelte system. En identifikasjon må selvsagt være entydig innen systemets rammer, ellers vil den ikke kunne benyttes til oppslag. I denne forstand vil for eksempel en kundeidentifikasjon (KID) også være entydig i forhold til systemet for de aktuelle kunder. Når loven krever at identifikasjonsmiddelet må være entydig, kreves det altså noe mer. Nemnda legger til grunn at loven må tolkes slik at identifikasjonsmiddelet må være egnet til bruk som identifikasjon i flere systemer. Fødselsnummeret vil i denne forstand være et entydig identifikasjonsmiddel, fordi det er en nøkkel til å gjenfinne informasjon i flere ulike systemer. Fingeravtrykk vil også være et entydig identifikasjonsmiddel i denne forstand fordi samme avtrykk kan brukes for å få tilgang til flere system. Fødselsnummeret vil være velegnet til identifikasjon, men er helt uegnet til autentisering (legitimasjon). Fingeravtrykket kan derimot brukes til begge deler.
Som den innledende presentasjonen (ovenfor i pkt 6.2) illustrerer, benyttes i dette tilfellet ikke fingeravtrykk for identifikasjon av bruker. Fingeravtrykket brukes til autentisering etter at en kandidat er valgt ut på grunnlag av kortet. Av denne grunn er det også tilstrekkelig at templaten er dannet av forholdsvis få punkter, dette gir likevel – sammen med kortet – høy grad av sikkerhet for at riktig bruker gis adgang.
Etter Personvernnemndas syn brukes strengt tatt derfor ikke fingeravtrykket i dette systemet til identifisering, men til autentisering. Spørsmålet for nemnda blir om personopplysningsloven § 12 dekker begge former for bruk av et ”identifikasjonsmiddel”. Med andre ord er spørsmålet om bruken av fingeravtrykk – som kan være et entydig identifikasjonsmiddel (jfr PVN-2006-07 Tysvær kommune) – skal omfattes av personopplysningsloven § 12 når det bare brukes til autentisering. Som det fremgår av PVN-2006-07 (Tysvær kommune) kom nemnda under tvil til at personopplysningsloven § 12 må tolkes slik at fingeravtrykk faller inn under bestemmelsens uttrykk ”entydig identifikasjonsmiddel”. Imidlertid er nemndas syn at når bruken av fingeravtrykk faller inn under personopplysningsloven § 12, omfatter bestemmelsen også bruk av fingeravtrykk til autentisering etter at identifisering har funnet sted, fordi autentisering er en bruk som omfattes av ”sikker identifisering”. I denne saken skjer den sikre identifiseringen i to faser. Disse to fasene er deler av et samlet system for sikker identifisering og fasene kan etter nemndas mening ikke sees uavhengig av hverandre. Nemnda vil derfor se på det samlede system ved vurderingen av saklig behov og nødvendighetsvilkåret nedenfor.
En særmerknad:
To av nemndas medlemmer (Leikny Øgrim og Jostein Halgunset) har et avvikende syn på hvilken vekt som skal legges på forarbeidenes uttalelse om at personopplysningsloven § 12 gjelder ”bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data”. Medlemmene mener det er uheldig å låse lovtolkningen på grunnlag av en kort bemerkning i lovforarbeidene, som åpenbart ikke er bygget på en nærmere vurdering av hvilke ulike måter fingeravtrykk kan brukes på og som derfor framstår som svært summarisk og lite nyansert. Fødselsnummer og fingeravtrykk er prinsipielt såpass forskjellige størrelser at de ikke kan betraktes som beslektet annet enn i noen spesielle anvendelser. Når ”fingeravtrykk og andre biometriske data” i lovforarbeidene omtales som ”andre entydige identifikasjonsmidler ” enn ”fødselsnummer”, må man derfor anta at forfatteren her har siktet til situasjoner hvor fingeravtrykk benyttes på en måte som har likhetstrekk med den måte fødselsnummer benyttes på, og hvor man altså teoretisk kunne velge mellom å bruke det ene eller det andre. Dette er ikke tilfelle i den foreliggende saken. Fingeravtrykk kan benyttes til å verifisere at det er riktig person som forsøker å få tilgang eller adgang. Fødselsnummeret kan ikke brukes til dette formålet. Ut fra dette virker det ikke som personopplysningsloven § 12 er ment å skulle regulere situasjoner som den vi her har med å gjøre.
Om man likevel skulle komme til at fingeravtrykk prinsipielt er å oppfatte som ”entydig identifikasjonsmiddel”, fordi det i noen situasjoner kan brukes analogt med fødselsnummer, og at det derfor faller innenfor personopplysningsloven § 12 uansett konkret anvendelse, vil man likevel ikke kunne oppfatte templater av fingeravtrykk på denne måten. Det er vanskelig å se noen mulighet til å bruke template av fingeravtrykk som erstatning for fødselsnummer, eller omvendt. Det er ikke mulig å etablere noen en-til-en-relasjon mellom en fysisk person og en template. Argumentet om at templaten etableres ved hjelp av fingeravtrykksmønsteret og at registreringsprosedyren derfor innebærer behandling av fingeravtrykk, og altså behandling av ”entydig identifikasjonsmiddel”, selv om templaten i seg selv ikke er entydig, virker søkt. I personopplysningsloven § 2 defineres ”behandling” som ”innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”. Men siden fingeravtrykket som sådan verken samles inn eller registreres, skjer det i henhold til lovens definisjon heller ingen behandling. Konklusjonen må derfor bli at personopplysningsloven § 12 ikke kommer til anvendelse i den foreliggende saken. Personvernnemndas argumentasjon videre går ikke nærmere inn på dette.
6.4 Foreligger det "saklig behov", og er metoden "nødvendig for å oppnå slik identifisering"?
Personopplysningsloven § 12 åpner for at man kan bruke entydige identifikasjonsmidler hvis særlige forhold foreligger.
I nærværende sak skal identifiseringen skje av brukere for å få adgang til døgnåpent tankanlegg. Esso Norge mener at man behøver både adgangskort og fingeravtrykksleser for identifisering av sikkerhetshensyn slik at kun autorisert og trenet personell blir gitt adgang til tankanlegget.
Etter Personvernnemndas syn må det være rimelig klart at det her foreligger et saklig behov for sikker identifisering.
Spørsmålet blir, slik Personvernnemnda ser det, hvorvidt kravet til nødvendighet er oppfylt.
Nemnda antar at det aktuelle systemet bygger på frivillighet fra den registrerte. For at det skal foreligge frivillighet, må det også foreligge et reelt alternativ. Dette tilbyr Esso ved at ansatte kan velge bruk av en kode for autentisering i stedet for fingeravtrykk.
Imidlertid krever personopplysningsloven § 12 at metoden skal være ”nødvendig” for å oppnå sikker identifisering. Logisk kan det da fremstå at hvis det tilbys et alternativ til fingeravtrykk, så kan ikke metoden være ”nødvendig” ettersom Esso aksepterer alternativet. En slik tolkning av personopplysningsloven § 12 vil i praksis bety at man utelukker bruk av samtykke som behandlingsgrunn. Dette vil etter nemndas mening være en uheldig konsekvens av en slik tolkning ettersom personopplysningsloven bygger på det grunnleggende prinsipp at den registrerte ved samtykke selv skal kunne bestemme over bruk av egne personopplysninger. En tolkning som gjør at den behandlingsansvarlige må påberope seg en annen behandlingsgrunn enn samtykke, kan derfor anses for å være i strid med lovens formål.
Personvernnemnda mener at personopplysningsloven § 12 ikke kan tolkes slik antydet ovenfor. Hvorvidt samtykke er frivillig, og kan benyttes som behandlingsgrunn, vil måtte vurderes i forhold til den enkelte registrerte. I dette tilfellet anser altså nemnda samtykket for å tilfredsstille kravene i personopplysningsloven § 2 nr 7. Etter personopplysningsloven § 12 er spørsmålet om løsningen som velges, gir den nødvendige sikkerhet for identifisering. Her må løsningen vurderes helhetlig. Personvernnemnda legger til grunn at Esso ved den valgte løsning oppnår det nødvendige sikkerhetsnivå. Arbeidsgiver vil ta hensyn til hvordan den enkelte identifiseres (og autentiseres) ved tilretteleggelsen av arbeidet, slik at den lavere sikkerhet i forhold til de arbeidstakere som har valgt ikke å registrere fingeravtrykk ikke reduserer den nødvendige sikkerheten i løsningen sett under ett. Hvis dette ikke lar seg realisere – f eks hvis ikke de aller fleste gir samtykke – vil Esso ikke kunne oppnå det ønskede sikkerhetsnivå ved frivillighet. Hvis man da fremdeles vil benytte fingeravtrykk til identifisering (og autentisering), må man eventuelt pålegge arbeidstakere å registrere fingeravtrykk. Da kan Esso ikke benytte samtykke som behandlingsgrunn.
Nemnda mener at denne tolkningen harmonerer best med personopplysningslovens grunnleggende prinsipper. Frivilligheten vurderes altså i forhold til den enkelte ansatte, mens nødvendigheten av bruken av ”entydig identifikasjonsmiddel” vurderes i forhold til nødvendigheten av etablering av den nødvendige sikkerhet for hele systemet. Slik kan man opprettholde bruk av samtykke som den foretrukne behandlingsgrunn også i forhold til entydige identifikasjonsmidler etter personopplysningsloven § 12.
Et medlem av nemnda (Leikny Øgrim) mener at så lenge det er mulig for sjåfører og ansatte å la være å samtykke til bruk av fingeravtrykksleser, jf personopplysningsloven § 2 nr 7, kan det ikke logisk sies å være nødvendig med bruk av denne metoden for å oppnå sikker identifisering, jf personopplysningsloven § 12. Medlemmet mener derfor at selv om det foreligger et saklig behov for bruk av fingeravtrykksleser, er ikke bruken nødvendig for å oppnå en sikker identifisering. Klagen bør derfor ikke tas til følge.
Nemndas flertall (Jon Bing, Gro Hillestad Thune, Tom Bolstad, Siv B Pedersen, Jostein Halgunset og Hanne I Bjurstrøm) mener at nødvendighetskriteriet i § 12 ikke kan utelukke samtykke som behandlingsgrunn. Den videre drøftelse er flertallets argumentasjon.
Det følger av forarbeidene at bruk av entydige identifikasjonsmidler ikke skal tillates dersom ”andre og mindre sikre identifikasjonsmidler, som for eksempel navn, adresse og kundenummer” er tilstrekkelig. Datatilsynet har sett det slik at tilfredsstillende sikkerhet kan oppnås ved døgnbemannet adgangskontroll, høye murer eller bruk av adgangskort kombinert med kode.
Personvernnemnda er av den oppfatning at det ikke kan pålegges – og derfor heller ikke vurderes – andre typer sikring slik som vakthold, gjerder, høye murer etc, idet dette ligger utenfor personopplysningsloven § 12 og midler for sikker identifisering ved adgangskontrollen.
Nemnda har forståelse for at klager i en slik situasjon som i denne saken søker å finne et system som er enkelt, sikkert og robust. Et tankanlegg krever en høy grad av sikkerhet da det er forbundet med stor fare dersom uvedkommende får adgang til tankanlegget. Bruk av fingeravtrykk i adgangskontrollen til døgnåpne tankanlegg vil gi en løsning med ønsket grad av sikkerhet forutsatt at samtykke gis av en tilstrekkelig stor andel av de ansatte. I motsetning til sak PVN-2006-11 (REMA 1000) er det ikke overvåkning som er formålet med bruken, men et ønske om å trygge en arbeidsplass og et anlegg som er ”farlig”. Dette er både i sjåførenes, de ansattes, arbeidsgivers og samfunnets interesse.
Imidlertid er dette i seg selv ikke nok. Nemnda tolker forarbeidene dit hen at det må i tillegg være slik at det ikke kan tas i bruk en løsning som generelt ikke forutsetter bruk av et entydig identifikasjonsmiddel, og som gir samme sikkerhet.
Personvernnemndas flertall er etter en konkret vurdering kommet til at det i denne situasjonen foreligger et saklig behov for sikker identifisering, og at bruk av fingeravtrykksleser er nødvendig for å oppnå dette. Den planlagte bruken er derfor tillatt i samsvar med personopplysningsloven § 12.
7 Vedtak
Klagen tas til følge.
Oslo, 8. mars 2007
Jon Bing
Leder