Álit Persónuverndar vegna notkunar fingrafaralesara við afgreiðslu máltíða í mötuneytum
Á l i t
Á fundi sínum hinn 26. nóvember 2007 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2007/584:
I.
Tildrög máls og bréfaskipti
Hinn 27. ágúst 2007 barst Persónuvernd kvörtun A og B vegna notkunar fingrafaralesara við afgreiðslu máltíða frá Hollu í hádeginu í mötuneyti Víðistaðaskóla í Hafnarfirði. Kvörtun sama efnis barst hinn 30. s.m. frá D vegna sams konar notkunar fingrafaralesara í Setbergsskóla í Hafnarfirði.
Af þessu tilefni óskaði Persónuvernd, með bréfi dags. 3. september 2007, upplýsinga um nánar tilgreind atriði frá Hollu í hádeginu. Svör bárust með bréfi, dags. 14. september 2007 Spurningar Persónuverndar og svör Holls í hádeginu eru tilgreind hér að neðan:
Sp: Í haustfréttabréfi Holls í hádeginu kemur fram að foreldrar þurfi að samþykkja að fingrafar barns sé skannað við upphaf áskriftar. Hvaða valkostir standa þeim foreldrum til boða sem ekki vilja veita samþykki sitt fyrir slíku?
Sv: Foreldrar hafa val um að barn þeirra fái matarkort ef þeir vilja ekki samþykkja fingrafaraskann.
Sp: Hvernig fer fingrafaraskráningin og eftirfarandi upplýsingavinnsla fram?
· Er notast við fingrafaramyndir eða er fingraförum umbreytt í sk. „template"?
· Eru upplýsingar um nemendur beggja skóla varðveittar í einum miðlægum grunni eða með öðrum hætti?
· Hvaða upplýsingar eru tengdar við fingrafaraupplýsingarnar (s.s. nafn, heimilisfang o.þ.h.)?
· Vinsamlegast veitið allar frekari upplýsingar um ferlið.
Sv:
· Fingraförum er umbreytt í „template" eða talnarunu
· Upplýsingar eru varðveittar í einum miðlægum grunni
· Þegar fingur er skannaður berast eingöngu upplýsingar um kennitölu nemanda og dagsetning þess dags sem skannað er.
· Fingrafar nemanda, sem slíkt, er ekki geymt í gagnagrunni kerfisins. Þegar nemandi setur fingur í skannan „les" tölvan úr fingrafarinu og athugar hvort það tilheyrir ákveðinni talnaröð sem geymd er í gagnagrunninum. Því er það einungis talnaruna einstaklinganna sem varðveitist í gagnagrunninum en ekki fingrafar nemanda. Tölvan getur að sama skapi ekki „lesið" fingrafar nema fingurinn sé settur í skannann.
· Fingrafar nemenda er ekki hægt að misnota á nokkurn hátt því einungis er geymd talnaruna í gagnagrunni en ekki mynd af fingrafari.
· Skönnunin er framkvæmd af starfsmönnum SS og fer fram í viðkomandi skólum.
Sp: Hvaða reglur gilda um aðgengi að upplýsingunum, þ.e. hver hefur aðgang að þeim og hvernig er öryggi þeirra tryggt?
Sv: Starfsmenn tölvudeildar SS eru þeir einu sem hafa aðgang að þessum gagnagrunni. Gagnagrunnurinn er læstur með lykilorðum og er vistaður í tölvu sem er í læstu rými tölvudeildar.
Sp: Stendur til að nota upplýsingarnar í einhverjum öðrum tilgangi en til afgreiðslu máltíða?
Sv: Hingað til hafa upplýsingarnar eingöngu verið notaðar til hagræðingar á afgreiðslu matar. Engin ákvörðun hefur verið tekin um aðra nýtingu þeirra.
Sp: Hefur foreldrum nemendanna verið veitt fræðsla um notkun fingrafaraskannanna að öðru leyti en með haustfréttabréfinu 2007?
Sv: Já í Setbergsskóla fór einnig hjálagt kynningarbréf en því miður fór það of seint í Víðistaðaskóla. Við munum endurskoða ferlið og senda/afhenda öllum bréf með kynningu á fingrafaraskanna í framtíðinni.
Sp: Hvað verða upplýsingarnar varðveittar lengi?
Sv: Upplýsingarnar eru varðveittar á meðan nemandi er í mataráskrift.
Kynningarbréf til foreldra, sem vísað var til í svörum Holls í hádeginu, var sent Persónuvernd með tölvubréfi dags. 15. september 2007 Þar kemur m.a. fram að ákveðið hafi verið að nota fingrafaralesara vegna þess að matarkort hafi gjarnan týnst eða skemmst með tilheyrandi vandamálum, að talnarunur en ekki fingrafaramyndir verði varðveittar í gagnagrunni kerfisins og að börn foreldra sem ekki samþykkja skönnun fingrafars fái áfram matarkort. Kynningarbréfinu fylgdi einnig sýnishorn af samþykkisyfirlýsingu sem send var foreldrum og forsjármönnum nemendanna.
Svarbréf Holls í hádeginu var sent kvartendum til athugasemda með bréfi, dags. 24. september 2007, auk þess sem rakin voru þau ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem á kynni að reyna í málinu. Hinn 8. október barst svohljóðandi athugasemd frá A og B:
„Í bréfi ,,Holls í hádeginu" dagsettu 14. september 2007 er spurning sett af okkar hálfu við 4. lið, sem hljóðar svo:
Hingað til hafa upplýsingarnar eingöngu verið notaðar til hagræðingar á afgreiðslu matar. Engin ákvörðun hefur tekin um aðra nýtingu þeirra (leturbreyting okkar).
Þar sem á eyðublaði er tekið fram að fingrafarið verði eingöngu notað vegna mataráskriftar hjá ,,Hollu í hádeginu" finnst okkur þetta svar á skjön við útsent eyðublað. Ganga verði úr skugga um að tryggt sé að gögnin séu ekki notuð til annars, og finnst okkur óeðlilegt að hægt sé að taka ákvörðun um einhverja aðra nýtingu gagnanna en þá er samþykkt var upphaflega."
Í tilefni af þessu sendi Persónuvernd Hollu í hádeginu bréf, dags. 15. október 2007, þar sem óskað var eftir því að upplýst yrði hvort með umræddu orðalagi væri átt við a) að upplýsingarnar yrðu ekki notaðar í öðrum tilgangi, eða b) að upplýsingarnar yrðu hugsanlega notaðar í öðrum tilgangi síðar, en enn sem komið væri hefði ekki verið tekin ákvörðun um það. Erindið var ítrekað með bréfi, dags. 5. nóvember sl,. og svar barst með bréfi dags. 9. nóvember, þar sem segir að upplýsingarnar verði ekki notaðar í öðrum tilgangi.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Ákvæðið er sett til samræmis við a-lið 2. gr. tilskipunar nr. 95/46/EB, en þar kemur fram að upplýsingar teljist persónugreinanlegar ef unnt er að rekja þær til hins skráða, beint eða óbeint, svo sem með tilvísun í kennitölu eða einn eða fleiri þætti sem sérkenna hann í líkamlegu, lífeðlisfræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna, þ. á m. söfnun, varðveisla og samtenging.
Fingraför teljast til lífkenna. Lífkenni eru líkamleg eða atferlisfræðileg einkenni sem eru einstök hverjum einstaklingi og mælanleg. Með aðstoð tækninnar er því hægt að nota þau til þess að greina einstaklinga hvern frá öðrum. Til lífkenna teljast t.d., auk fingrafara, andlitsmyndir, augn- og sjónhimnumyndir, raddeinkenni, handarför, æðamynstur, undirskriftir, DNA og jafnvel tiltekið hegðunarmynstur, s.s. ásláttur á lyklaborð, ákveðið göngulag eða talsmáti o.s.frv. Um vinnslu lífkenna gilda ýmis sérsjónarmið vegna sérstaks eðlis þeirra, en þau eru einkvæm og því hægt að nota þau til að tengja saman ýmiss konar upplýsingar, þau eru að meginreglu varanleg og ekki er unnt að skilja þau frá einstaklingnum. Þá eru sum lífkenni þess eðlis að þeirra er hægt að afla án þess að einstaklingurinn viti af því, s.s. með leynilegri töku andlitsmynda, hljóðupptöku símtala og töku fingrafara sem finnast á hlutum. Lífkenni er unnt að nota til þess að bera kennsl á einstakling, en einnig til þess sannreyna að hann sé sá sem hann segist vera. Af því leiðir að miklir hagsmunir geta staðið til þess að lífkenni séu tengd réttum einstaklingi og að vel sé gætt að öryggi slíkra upplýsinga.
Sú upplýsingavinnsla sem hér um ræðir felst í því að punktar eru lesnir úr fingrafari einstaklings, þeim umbreytt í talnarunu eftir ákveðinni reiknireglu og talnarunan tengd við kennitölu einstaklingsins í gagnagrunni. Einstaklingurinn þrýstir síðan fingri á lesara til þess að staðfesta ákveðnar upplýsingar, í þessu tilviki að hann sé í mataráskrift hjá Hollu í hádeginu. Sú staðfesting fer þannig fram að punktum úr fingrafarinu er umbreytt í talnarunu á sama hátt og áður og hún síðan borin saman við þær talnarunur sem er geymdar eru í gagnagrunninum. Ef niðurstaða samanburðarins er innan ákveðinna vikmarka fæst staðfesting á því að þetta tiltekna fingrafar sé til í gagnagrunninum ásamt upplýsingum um hvort viðkomandi einstaklingur sé í áskrift.
Af framangreindu er ljóst að um er að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 og fellur þar með undir valdsvið Persónuverndar að skera úr um lögmæti hennar, sbr. 37. gr. laganna.
2.
Lögmæti
Vinnsla persónuupplýsinga er því aðeins heimil að eitthvert skilyrða 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sé uppfyllt. Ef um er að ræða viðkvæmar upplýsingar í skilningi 8. tölul. 2. gr. laganna verður jafnframt að uppfylla eitthvert af skilyrðum 1. mgr. 9. gr.
Þegar lífkenni er umbreytt í samanburðargögn (talnarunur eða sniðmát; e. „template") er stundum talað um samanburðarlífkenni, en þó verður að gera greinarmun á slíkum upplýsingum og hrálífkennum. Í fyrsta lagi er ekki mögulegt að snúa talnarununni til baka í t.d. mynd af fingrafari eða sjónhimnu. Í öðru lagi geta sum hrálífkenni borið með sér upplýsingar sem teljast viðkvæmar í skilningi laga nr. 8. tölul. 2. gr. laga nr. 77/2000, s.s. um heilsuhagi eða uppruna. Samanburðarlífkenni eru hins vegar ekki viðkvæm í sjálfu sér, en þau má þó tengja við aðrar upplýsingar sem teljast viðkvæmar.
Í máli því sem hér er til umfjöllunar eru samanburðarlífkenni tengd kennitölu einstaklings og upplýsingum um hvort viðkomandi einstaklingur er í áskrift hjá Hollu í hádeginu. Því er ekki um viðkvæmar persónuupplýsingar að ræða, og þarf vinnsla þeirra því einungis að uppfylla eitthvert skilyrða 1. mgr. 8. gr. laga nr. 77/2000.
Samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil hafi hinn skráði einstaklingur veitt til hennar annað hvort ótvírætt samþykki eða upplýst samþykki. Slíkt samþykki verður að vera frjálst og óþvingað, auk þess sem forsenda fyrir gildi þess er að einstaklingurinn viti hvað hann er að samþykkja. Í samræmi við ákvæði 51. gr. lögræðislaga nr. 71/1997 og 4. mgr. 28. gr. barnalaga nr. 76/2003 veita forsjármenn barns sem er ólögráða fyrir æsku sakir samþykki fyrir þess hönd, og ber að hafa samráð við barnið í samræmi við aldur þess og þroska, sbr. 6. mgr. 28. gr. barnalaga.
Í málinu liggur fyrir að Hollt í hádeginu leitar eftir samþykki foreldra og forsjármanna nemenda fyrir notkun fingrafara til afgreiðslu skólamáltíða frá Hollu í hádeginu. Börnum foreldra og forsjármanna sem ekki vilja veita slíkt samþykki stendur til boða að nota matarkort í staðinn. Sú vinnsla persónuupplýsinga sem umræðir telst því eiga sér nægilega stoð í 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
3.
Meginreglur um gæði gagna og vinnslu
Þrátt fyrir að vinnsla persónuupplýsinga uppfylli eitthvert skilyrða 1. mgr. 8. gr. laga nr. 77/2000, þarf jafnframt að gæta í hvívetna 1. mgr. 7. gr. laganna sem hefur að geyma meginreglur um gæði gagna og vinnslu. Þar kemur m.a. fram að persónuupplýsingar skuli fengnar í skýrum, yfirlýstum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.) og að þær skuli ekki varðveittar á persónugreinanlegu formi lengur en nauðsynlegt er miðað við tilganginn (5. tölul.). Þessar reglur gilda um vinnslu hvers kyns persónuupplýsinga, en ber þó að túlka með hliðsjón af eðli þeirra upplýsinga sem um ræðir hverju sinni, s.s. hvort þær teljist viðkvæmar eða hvort um þær gildi sérstök sjónarmið eins og raunin er um lífkenni.
Í bréfaskiptum vegna málsins hefur komið fram að Hollt í hádeginu hyggist ekki nota upplýsingarnar í öðrum tilgangi en til afgreiðslu máltíða í skólamötneytum og að upplýsingarnar verði einungis varðveittar á meðan nemandi er í mataráskrift. Því verður ekki séð að upplýsingavinnslan brjóti í bága við 2. og 5. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
Krafa 3. tölul. um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, er krafa um meðalhóf. Þetta verður að skilja sem svo að nægi önnur og vægari úrræði en notkun lífkenna til þess að ná tilgangi vinnslunnar eigi fremur að beita þeim. Tilgangur þeirrar vinnslu sem hér um ræðir er að sannreyna að nemendur séu í áskrift hjá Hollu í hádeginu. Í ljósi þess að annar valkostur, þ.e. matarkort, stendur nemendum til boða má færa rök að því að aðrar leiðir séu færar að sama marki. Hins vegar verður einnig að túlka ákvæði 3. tölul. í samræmi við önnur ákvæði og meginreglur laganna, þ. á m. grundvallarsjónarmið um sjálfsákvörðunarrétt einstaklingsins. Með hliðsjón af því að fingraför nemenda eru því aðeins notuð að foreldrar þeirra eða forsjármenn hafi samþykkt það fyrir sitt leyti og með tilliti til þess hvernig staðið er að upplýsingavinnslunni að öðru leyti verður ekki talið að hún brjóti í bága við ákvæði 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
N i ð u r s t ö ð u o r ð :
Valkvæð notkun fingrafaralesara við afgreiðslu máltíða frá Hollu í hádeginu í skólamötuneytum Setbergsskóla og Víðistaðaskóla brýtur ekki í bága við ákvæði 7. og 8. gr. laga nr. 77/2000.