ARTIKEL 29 - ARBETSGRUPPEN FÖR DATASKYDD 12168/02/SV WP 80 Arbetsdokument om biometri Antaget den 1 augusti 2003 Arbetsgruppen har inrättats genom artikel 29 i direktiv 95/46/EG. Arbetsgruppen är EU:s oberoende rådgivande instans för dataskydd och skydd av privatlivet. Dess arbetsuppgifter framgår av artikel 30 i direktiv 95/46/EG och artikel 14 i direktiv 97/66/EG. För sekretariatet svarar direktorat E (Tjänster, immateriella och industriella rättigheter, medier samt informationssäkerhet ) inom Europeiska kommissionens generaldirektorat för den inre marknaden, BE-1049 Bryssel, Belgien, Rum Nr C1006/136. Webbplats: www.europa.eu.int/comm/privacy ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 19951, med beaktande av artiklarna 29, 30.1 a och 30.3 i det direktivet, med beaktande av dess arbetsordning, särskilt artiklarna 12 och 14 i denna, HAR ANTAGIT DETTA ARBETSDOKUMENT. 1. INLEDNING Den snabba utvecklingen på området för biometrisk teknik och den allt bredare tillämpningen av olika biometriska tekniker under de senaste åren kräver en noggrann granskning av dessa med avseende på dataskyddet2. Risken för en utbredd och okontrollerad användning av biometri föranleder oro beträffande skyddet av individens grundläggande fri- och rättigheter. Biometriska uppgifter är mycket speciella till sin natur, eftersom de rör individens beteendemässiga och fysiologiska egenskaper och möjliggör en unik identifiering av honom eller henne3. Biometrisk databehandling används i dag ofta i samband med förfaranden för automatisk autentisering/verifiering och identifiering, särskilt kontroll av tillträde till såväl fysiska som virtuella rum (dvs. särskilda elektroniska system eller tjänster). Tidigare begränsade sig användningen av biometri huvudsakligen till DNA-prover och fingeravtryck. Fingeravtryck användes särskilt i samband med brottsbekämpning (till exempel brottsutredningar). Om samhället uppmuntrar till att biometriska databaser över fingeravtryck eller andra biometriska attribut utvecklas också för andra rutinmässiga tillämpningar, ökar risken för att de kommer att utnyttjas av tredje man i jämförelser eller forskning för egna ändamål, trots att detta inte avsågs inledningsvis. Tredje man kan även utgöras av myndigheter med ansvar för brottsbekämpning. En fara i samband med biometrisk databehandling är i synnerhet att en ökad användning av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag. Om biometri används i 1 Europeiska gemenskapernas officiella tidning L 281, 23.11.1995, http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm 2 Efter den 11 september 2001 har biometri ofta framställts som ett effektivt redskap för att öka den allmänna säkerheten. Inom Europeiska unionen pågår diskussioner om möjligheten att införa biometri i ID-kort, pass, resehandlingar och visum. I USA kommer inom en snar framtid biometriskt ID bli obligatoriskt för utlänningar vid resa till och från landet. År 2003 ändrades ILO-konvention nr 108 för att möjliggöra obligatorisk biometriskt ID för sjöfolk. Diskussioner pågår även inom andra internationella forum, såsom G8 och OECD. 3 Den unika identifieringen är emellertid avhängig av olika faktorer, bland annat databasens storlek och vilken biometrisk metod som används. 2 s. 31, se: skolbibliotek till exempel, kan det leda till att barnen blir mindre medvetna om de risker rörande dataskydd som de eventuellt utsätts för senare i livet. Syftet med detta arbetsdokument är att bidra till en effektiv och enhetlig tillämpning av de nationella bestämmelserna om dataskydd som antagits i överensstämmelse med direktiv 95/46/EG om biometriska system. Dokumentet är främst inriktat mot biometriska applikationer för autentisering. Arbetsgruppens avsikt är att tillhandahålla enhetliga riktlinjer för gemenskapen, i synnerhet för de företag som utvecklar biometriska system och användarna av dessa system. 2. BESKRIVNING AV BIOMETRISKA SYSTEM Ett biometriskt system är en tillämpning av den biometriska tekniken som möjliggör autentisering och/eller identifiering av en person4. Autentiserings-/verifieringsapplikationer används för en rad olika uppgifter inom vitt skilda områden, och ansvaret för dessa vilar på ett stort antal olika aktörer. Varje biometrisk applikation är mer eller mindre beroende av vilket biometriskt attribut som avses, oavsett om syftet är autentisering/verifiering eller identifiering: - Universell: Det biometriska attributet finns hos alla personer5. - Unik: Det biometriska attributet måste vara utmärkande för varje person. - Permanent: Det biometriska attributet förändras inte med tiden hos varje enskild person. De biometriska teknikerna kan delas upp i två huvudkategorier: en där stabila uppgifter används, och en där föränderliga beteendebaserade uppgifter används6. Till den första kategorin hör olika tekniker för mätning av en persons fysiska och fysiologiska särdrag. Här ingår bland annat verifiering av fingeravtryck, fingergeometri, irisigenkänning, analys av näthinnan, ansiktsigenkänning, handgeometri, igenkänning av örats form, igenkänning av lukt, röstigenkänning, DNA-analys7 och hudporsanalys. I den andra kategorin ingår olika tekniker för mätning av en persons beteende, bland annat verifiering av namnteckning, analys av tangenttryckningar och analys av gångstil. 4 Det är viktigt att skilja på autentisering och identifiering. Autentisering besvarar frågan: Är jag den jag utger mig för att vara? Genom behandling av biometriska uppgifter tillhörande den person som frågar styrker systemet personens identitet och svarar med ja/nej (en-mot-en-jämförelse). Identifiering besvarar frågan: Vem är jag? Systemet identifierar den person som frågar genom att skilja honom eller henne från övriga personer vars biometriska uppgifter också finns lagrade. Systemet fattar ett 1-av-nbeslut och svarar att den person som frågar är X. 5 I detta avseende är inte alla biometriska attribut likvärdiga, och förmågan att skilja en person från en annan varierar kraftigt beroende på vilken biometrisk metod som används. De mest utmärkande biometriska attributen tycks vara DNA, näthinnor och fingermönster. 6 Vissa tekniker kan vara både fysiologi- och beteendebaserade. 7 Användning av DNA för biometrisk identifikation ger upphov till särskilda frågor, men dessa behandlas inte i detta dokument. Det kan nämnas att det i dag inte tycks vara möjligt att upprätta en DNA-profil för identifieringsändamål i realtid. 3 Med hänsyn till den snabba tekniska utvecklingen och de ökade kraven på säkerhet utformas många biometriska system så att igenkänning av olika biometriska drag hos användaren kombineras med annan teknik för identifiering och autentisering. I vissa system kombineras till exempel ansiktsigenkänning med röstigenkänning. Autentisering kan till exempel ske genom en kombination av tre olika metoder, baserade på något som personen vet (lösenord, PIN-kod osv.), något som personen har (symbol, magnetkort, smartkort osv.) och något som personen är (ett biometriskt kännetecken). För att logga in på en dator kan en användare till exempel skjuta in ett smartkort, ange ett lösenord och läsa av sitt fingermönster. Insamlingen av biometriska prover, så kallade biometriska uppgifter (till exempel inspelning av röst eller bild på fingermönster, iris eller näthinna) sker under ”inregistreringsfasen” med hjälp av en sensor som är specifik för varje typ av biometrisk metod. Det biometriska systemet extraherar karakteristiska egenskaper från personens biometriska uppgifter och upprättar en biometrisk ”profil”. Den biometriska profilen, som är en strukturerad förminskning av en biometrisk bild, utgör den registrerades biometriska mått. Det är den biometriska profilen, i digital form, som lagras, inte det biometriska attributet. Behandlingen av biometriska uppgifter kan även ske i form av rådata (bilder) beroende på hur det biometriska system som används fungerar8. Inregistreringsfasen är av särskilt stor betydelse eftersom både rådata, extraktions- och skyddsalgoritmer (kryptografi, hashing med mera) samt biometriska profiler ingår samtidigt. Det bör i detta avseende betonas att om rådata innehåller information som kan anses känslig i den mening som avses i artikel 8 i direktiv 95/46/EG, bör inregistreringen av sådana uppgifter ske i överensstämmelse med denna artikel (se punkt 3.7 nedan). En ytterligare aspekt som är viktig ur dataskyddssynpunkt är i vilken form personernas biometriska profiler lagras. Denna beror på vilken typ av applikation den biometriska utrustningen skall användas till och på de biometriska profilernas storlek. Biometriska profiler kan lagras på ett av följande sätt: a) - Lagring i minnet i den biometriska utrustningen. b) - Lagring i en central databas. c) - Lagring i plastkort, optiska kort eller smartkort. Denna lagringsmetod möjliggör för personen att bära med sig sin biometriska profil som en identifieringsutrustning. För autentisering/verifiering är det i princip inte nödvändigt att lagra referensuppgifter i en databas. Det räcker att personuppgifterna lagras decentraliserat. Identifikation är däremot endast möjlig om referensuppgifter lagras i en central databas, eftersom systemet måste jämföra personens biometriska profiler eller rådata (bild) med samtliga de biometriska profiler eller rådata som finns lagrade centralt. En anmärkning av särskilt stor vikt ur dataskyddssynpunkt är att vissa biometriska system bygger på information (såsom fingeravtryck eller DNA-prov) som kan samlas in utan att personen är medveten om detta eftersom han eller hon omedvetet kan lämna spår efter sig. 8 Detta arbetsdokument berör främst biometriska system baserade på biometriska profiler, men det kan även tillämpas på rådata. Den speciella karaktären hos rådata kan emellertid fordra en anpassning av datasäkerhetskraven. 4 Genom att applicera en biometrisk algoritm på ett fingeravtryck som hittats på ett dricksglas går det att avgöra9 om en person finns registrerad i en databas över biometriska uppgifter och, om så är fallet, avgöra vem personen är genom att jämföra de båda profilerna. Detta gäller även för andra biometriska system, till exempel dem som bygger på analys av tangenttryckningar eller ansiktsigenkänning på håll, beroende på de särskilda egenskaperna hos den teknik som används10. Saken kompliceras å ena sidan av att det är möjligt att samla in och bearbeta uppgifter utan den registrerades vetskap och å andra sidan av att denna teknik, oavsett dess nuvarande tillförlitlighet, inbjuder till en generell användning eftersom den utförs på ett mindre störande sätt. Det förefaller därför nödvändigt att fastställa särskilda skyddsbestämmelser för denna teknik. 3. TILLÄMPNINGEN AV BESTÄMMELSER I DIREKTIV 95/46/EG 3.1. Tillämpning av direktiv 95/46/EG I artikel 2 a i direktiv 95/46/EG definieras ”personuppgifter” som ”varje upplysning som avser en identifierad eller identifierbar fysisk person […]”. En identifierbar person är ”en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, mentala […] identitet”. I skäl 26 tillfogas följande förklaring: ”För att avgöra om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person.” Enligt denna definition utgör åtgärder för biometrisk identifiering eller deras digitala översättning i profilform i de flesta fall personuppgifter11. Det förefaller som om biometriska uppgifter alltid kan anses utgöra ”upplysning som avser en […] fysisk person”, eftersom de till sin natur är sådana att de tillhandahåller information om en given person. Vid biometrisk identifiering är personen vanligtvis identifierbar, eftersom biometriska uppgifter används för identifiering eller autentisering/verifiering åtminstone i den bemärkelsen att den registrerade särskiljs från övriga personer12. Enligt artikel 3.1 i direktiv 95/46/EG skall principerna för skydd av uppgifter tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register. Direktivet gäller inte om uppgifterna behandlas av en fysisk person som 9 För detta krävs emellertid förmåga att ta prov på fingeravtrycket från glaset utan att skada avtrycket. Vidare krävs teknisk utrustning för att behandla uppgifterna från fingeravtrycket samt tillgång till tillverkarens algoritm och/eller databasen över fingeravtrycken. 10 Se punkt 3 om tillämpningen av direktiv 95/46/EG, särskilt punkt 3.3 om skyldigheten att informera den registrerade. 11 I de fall där biometriska uppgifter, till exempel en biometrisk profil, lagras så att varken den registeransvarige eller någon annan person kan använda dem på något sätt för att identifiera den registrerade, bör dessa uppgifter inte klassificeras som personuppgifter. 12 En persons identifierbarhet beror dessutom på tillgängligheten hos övriga uppgifter som – tillsammans eller var för sig – möjliggör identifiering av personen i fråga. Möjligheten till en ”direkt identifikation” genom ”en eller flera faktorer som är specifika för hans fysiska […] identitet” anges uttryckligen i definitionen av personuppgifter i artikel 2 a i direktiv 95/46/EG. 5 ett led i verksamhet av rent privat natur eller som har samband med denna persons hushåll. Många biometriska applikationer för hushållsändamål kommer att ingå i denna kategori. Vid sidan av dessa särskilda undantag kan behandling av biometriska uppgifter endast anses laglig om alla de ingående processerna – från inregistreringsfasen och framåt – utförs enligt bestämmelserna i direktiv 95/46/EG. I detta dokument behandlas inte alla de frågor som uppkommer i samband med tillämpningen av direktiv 95/46/EG på biometriska uppgifter. Endast de mest relevanta frågorna tas upp för behandling, och dokumentet ger därför inte någon fullständig översikt över konsekvenserna av tillämpningen av direktiv 95/46/EG. 3.2. Ändamåls- och proportionalitetsprincipen Enligt artikel 6 i direktiv 95/46/EG skall personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. De skall dessutom vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas (ändamålsprincipen). För att denna princip skall iakttas krävs för det första att ändamålet för insamlingen och behandlingen av biometriska uppgifter klart definieras. Vidare krävs en utvärdering av om hänsyn tas till proportionalitet och legitimitet, med beaktande av de risker som uppstår för skyddet av individens grundläggande fri- och rättigheter, och i synnerhet med beaktande av om det är möjligt att uppnå det avsedda ändamålet på ett mindre integritetskränkande sätt. Proportionaliteten har hittills utgjort det främsta kriteriet i nästan alla beslut som datainspektionerna har fattat i frågor rörande behandling av biometriska uppgifter13. När det gäller behörighetskontroll (autentisering/verifiering) är det arbetsgruppens uppfattning att biometriska system knutna till fysiska drag som inte lämnar spår (till exempel handens struktur, men inte fingermönster) eller biometriska system knutna till fysiska drag som lämnar spår men inte lagrar uppgifter som innehas av någon annan än den person som berörs (det vill säga uppgifterna lagras inte i utrustningen för behörighetskontroll eller lagras i en central databas) medför lägre risk för skyddet av individens grundläggande fri- och rättigheter14. Flera datainspektioner stödjer denna åsikt och anser att biometrisk information inte bör lagras i en databas, utan uteslutande i utrustning som endast användaren har tillgång till, såsom ett smartkort, en mobiltelefon eller ett bankkort15. I applikationer där autentisering/verifiering kan ske utan att biometriska uppgifter behöver lagras centralt bör med andra ord överdriven identifieringsteknik inte tillämpas. 13 Beslut av bland andra de nederländska, franska, tyska, italienska och grekiska datainspektionerna. 14 Två olika fall kan urskiljas: å ena sidan då biometriska uppgifter behandlas centralt, å andra sidan då biometriska referensuppgifter lagras i mobil utrustning och matchningsprocessen sker på ett kort, inte i en sensor, eller när sensorn är en del av den mobila utrustningen. 15 De mekanismer som införts för att lösa problemet med borttappade, stulna eller skadade kort bör beaktas, och dem av dessa som inte medför att biometriska uppgifter lagras bör främjas. När så är möjligt bör uppgifterna samlas in på nytt direkt från den registrerade. 6 Arbetsgruppen anser därför att användningen av andra typer av applikationer (det vill säga baserade på biometriska profiler av fingeravtryck lagrade digitalt i en terminal eller en central databas) noggrant bör bedömas innan de tas i bruk. Om den här typen av system skall införas, till exempel vid högsäkerhetsanläggningar16, bör det övervägas om sådan databehandling skall användas som är förknippad med risker i den mening som avses i artikel 20 i direktiv 95/46/EG och därför skall underkastas förhandskontroll av datainspektionerna i enlighet med nationell lagstiftning (se punkt 3.5). I direktiv 95/46/EG förbjuds vidare behandling som är oförenlig med det ändamål för vilket uppgifterna samlades in. Detta skulle till exempel vara fallet om biometriska uppgifter som behandlas i samband med en behörighetskontroll skulle användas i syfte att bedöma den registrerades mentala tillstånd eller för övervakning på arbetsplatsen. Nödvändiga åtgärder måste vidtas för att förhindra sådant oförenligt utnyttjande17. I direktiv 95/46/EG medges undantag från förbudet om vidare behandling av uppgifter för oförenliga ändamål, men särskilda villkor gäller. Det är allmänt accepterat att risken för utnyttjande av biometriska uppgifter från fysiska spår som omedvetet efterlämnats av individer (till exempel fingeravtryck) för oförenliga ändamål är relativt liten, om uppgifterna inte lagras i centrala databaser, utan innehas av individen själv och är oåtkomliga för en tredje person. Central lagring av biometriska uppgifter ökar även risken för användning av dessa som nyckel för sammankoppling av olika databaser, vilket skulle kunna ge upphov till detaljerade kartläggningar av individens vanor både i den offentliga och privata sektorn. Vidare ger frågan om förenliga ändamål i sin tur upphov till frågan om driftskompatibilitet mellan olika system där biometri ingår. Den standardisering som krävs för att skapa driftskompatibilitet skulle kunna leda till en ökad sammankoppling av olika databaser. Användningen av biometri ger dessutom upphov till frågan om proportionaliteten hos varje kategori av uppgifter med hänsyn till ändamålet med behandlingen. Biometriska uppgifter får endast användas om de är lämpliga och relevanta samt om antalet uppgifter som behandlas inte är orimligt stort. Detta fordrar en strikt bedömning av om de behandlade uppgifterna är nödvändiga och proportionella18. Den franska datainspektionen (Commission Nationale de l'Informatique et des Libertés, CNIL) har till exempel vägrat godkänna att fingeravtryck används för att ge skolbarn tillträde till skolbespisningen19 men har godtagit att handgeometri används för samma ändamål. Den portugisiska datainspektionen beslutade nyligen att inte tillåta användning av biometriska system (fingeravtryck) vid ett universitet i syfte att kontrollera flit och punktlighet hos 16 Den tekniska utvecklingen inom biometriska tekniken tillåter för närvarande inte rena identifieringslösningar, som är tillförlitliga och kan utföras i realtid, för populationer av mer normal storlek, och det är inte troligt att sådana lösningar kommer att göras tillgängliga inom den närmaste framtiden. 17 Såsom påpekats ovan måste ändamålet tydligt anges. 18 Dessutom måste möjlighet ges att förbli anonym eller använda pseudonymer under vissa omständigheter. De mekanismer som införts för att lösa problemet med borttappade, stulna eller skadade kort måste tas i beaktande i detta sammanhang, och de av dessa som inte medför att biometriska uppgifter lagras bör främjas. När så är möjligt bör uppgifterna samlas in på nytt direkt från den registrerade. 19 Förenade kungarikets datainspektion tycks emellertid ha godkänt användning av fingeravtryck under liknande omständigheter i de fall då lämpliga säkerhetsåtgärder vidtagits. 7 den icke undervisande personalen20. Den tyska datainspektionen uttalade i ett beslut sitt stöd för att biometriska kännetecken införs i identitetshandlingar för att förhindra förfalskning, under förutsättning att uppgifterna lagras på ett mikrochip i kortet i stället för i en databas för jämförelse med ägarens fingeravtryck. Ett särskilt problem består i att biometriska uppgifter ofta innehåller mer information än vad som är nödvändigt för identifiering eller autentisering/verifiering. Sannolikheten att så är fallet är större när det gäller originalbilden (rådata), eftersom den biometriska profilen kan och bör konstrueras tekniskt så att icke nödvändiga uppgifter utesluts. Icke nödvändiga uppgifter bör förstöras snarast möjligt21. Vissa biometriska uppgifter kan dessutom avslöja en persons etniska ursprung eller hälsotillstånd. (Se punkt 3.7 nedan.) Det bör avslutningsvis nämnas att biometriska system kan utformas på så sätt att de kan betraktas som integritetsskyddande teknik, bland annat eftersom användningen av dem kan medföra en minskad behandling av andra personuppgifter, såsom namn, adress och bostad. 3.3. Korrekt insamling och information till den registrerade Behandlingen och i synnerhet insamlingen av biometriska uppgifter bör ske på ett korrekt sätt22. Den registeransvarige bör informera den registrerade i överensstämmelse med artiklarna 10 och 11 i direktiv 95/46/EG23. Detta omfattar särskilt att ändamålet och den registeransvariges identitet tydligt anges (den registeransvarige är ofta ansvarig för driften av det biometriska systemet eller tillämpningen av den biometriska tekniken). System där biometriska uppgifter samlas in utan den registerades vetskap måste undvikas. Vissa biometriska system, som ansiktsigenkänning på håll, insamling av fingeravtryck och avlyssning, utgör en större risk i detta hänseende. 3.4. Kriterier för att tillåta uppgiftsbehandling Behandlingen av biometriska uppgifter måste ske med utgångspunkt i en av de grunder för tillåtelse som anges i artikel 7 i direktiv 95/46/EG. Arbetsgruppen betonar att, om samtycke används som legitimitetsgrund av den registeransvarige, måste den registeransvarige iaktta villkoren i artikel 2 i direktiv 20 Den portugisiska datainspektionen ansåg att ett sådant system var oproportionerligt och orimligt med hänsyn till ändamålet med databehandlingen. I systemet skulle uppgifter lagras i en biometrisk utrustning, och den universitetspersonal som skulle kontrolleras uppgick till ungefär 140 stycken. 21 Tillämplig när det gäller utplånandet av denna information är också artikel 6.1 e i direktiv 95/46/EG, som föreskriver att personuppgifterna inte skall lagras under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlades. 22 Artikel 6 a i direktiv 95/46/EG. 23 Undantag från skyldigheten att informera de registrerade enligt artiklarna 10 och 11 i direktiv 95/46/EG bör baseras på rättsliga åtgärder och utgöra en nödvändig åtgärd i syfte att begränsa omfattningen av denna skyldighet att informera för att ta tillvara de intressen som anges i artikel 13 i direktiv 95/46/EG (statens säkerhet, förebyggande, undersökning, avslöjande av brott, åtal för brott och så vidare). 8 95/46/EG (varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom). 3.5. Förhandskontroll – anmälan Såsom nämnts tidigare stöder arbetsgruppen en användning av biometriska system, om spår varken lagras i en terminal eller i en central databas (se punkt 3.2.). Om det däremot redan finns planer på att införa sådana system, och med beaktande av risken för utnyttjande för andra ändamål och av de särskilda riskerna i fall av obehörig åtkomst, rekommenderar arbetsgruppen att medlemsstaterna låter datainspektionerna utföra en förhandskontroll av systemen i enlighet med artikel 20 i direktiv 95/46/EG, eftersom denna typ av databehandling troligen kommer att medföra särskilda risker för de registerades fri- och rättigheter. Om medlemsstaterna avser att införa bestämmelser om förhandskontroller vid biometrisk databehandling, bör de nationella datainspektionerna ges möjlighet att yttra sig innan sådana bestämmelser införs. 3.6. Säkerhetsåtgärder Den registeransvarige måste, i enlighet med artikel 17 i direktiv 95/46/EG, vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av biometriska uppgifter i ett nätverk. Säkerhetsåtgärder måste vidtas när biometriska uppgifter behandlas (lagring, överföring, extrahering, jämförelse osv.), i synnerhet om den registeransvarige sänder sådana uppgifter via Internet. Exempel på säkerhetsåtgärder är kryptering av de biometriska profilerna och skydd av krypteringsnycklarna, som tillsammans med behörighetskontrollen och åtkomstskyddet skulle göra det praktiskt taget omöjligt att rekonstruera de ursprungliga uppgifterna utifrån profilerna. För detta ändamål bör vissa nya tekniska lösningar beaktas. En intressant utveckling är möjligheten att använda biometriska uppgifter som krypteringsnycklar. Detta skulle på förhand minska risken för den registrerade, eftersom de biometriska uppgifterna endast kan dekrypteras genom en ny insamling av biometriska uppgifter från den registrerade själv. Det är på detta sätt möjligt att undvika att det skapas databaser över biometriska profiler som kan utnyttjas för andra ändamål än de avsedda. Nödvändiga säkerhetsåtgärder bör vidtas i inledningen av behandlingen, i synnerhet under inregistreringsfasen då biometriska uppgifter överförs till biometriska profiler eller bilder. Det måste stå klart att varje brist på integritet, konfidentialitet och åtkomst i samband med databaserna inverkar högst menligt på samtliga framtida applikationer som baseras på informationen i dessa databaser och förorsakar irreparabla skador för de registrerade. Om till exempel en behörig persons fingeravtryck associeras med en obehörig persons identitet, skulle den obehöriga personen kunna komma åt de tjänster som är tillgängliga för innehavaren av fingeravtrycken utan att personen är berättigad till detta. Detta skulle ge upphov till identitetsstölder, som – oavsett om de upptäcks – skulle medföra att personens fingeravtryck blir otillförlitliga för framtida applikationer och därigenom skulle inskränka hans/hennes frihet. Fel som uppstår i biometriska system kan få allvarliga konsekvenser för individen. I synnerhet kan felaktiga avvisanden av behöriga personer eller felaktiga godkännanden av personer utan behörighet skapa allvarliga problem på många olika nivåer. Användningen av biometriska uppgifter bör a priori minska risken för sådana fel. Den kan emellertid 9 även ge upphov till den felaktiga föreställningen att identifieringen eller autentiseringen/verifieringen av den registrerade alltid är riktig. Det kan bli svårt eller omöjligt för den registrerade att bevisa motsatsen. Ett system kan till exempel felaktigt identifiera en registrerad som en person som inte bör tillåtas att resa med ett flygplan eller som en person som inte bör tillåtas inresa i ett särskilt land, och personen skulle ha mycket svårt att lösa detta problem med så ”oemotsägliga” bevis mot sig. Det bör här på nytt betonas att varje beslut som har rättsliga följder för individen endast bör fattas efter det att resultatet av den automatiska behandlingen har bekräftats i enlighet med artikel 15 i direktiv 95/46/EG. Slutligen skall nämnas att användningen av biometri kan förbättra kontrollförfarandena vid till exempel tillgång till personuppgifter rörande tredje man, såsom stöld och missbruk (tillståndsförfaranden). 3.7. Känsliga uppgifter Vissa biometriska uppgifter bör betraktas som känsliga i den mening som avses i artikel 8 i direktiv 95/46/EG, särskilt uppgifter som avslöjar etniskt ursprung eller hälsotillstånd. I biometriska system baserade på ansiktsigenkänning kan det till exempel förekomma behandling av uppgifter som avslöjar etniskt ursprung. I sådana fall tillämpas de särskilda skyddsåtgärder som anges i artikel 8, utöver direktivets allmänna skyddsprinciper. Detta innebär inte att all behandling av biometriska uppgifter med nödvändighet rör känsliga uppgifter. Huruvida en behandling rör känsliga uppgifter eller inte är en bedömningsfråga som hänger samman med vilken specifik biometrisk egenskap och biometrisk applikation som används. Risken för detta är sannolikt högre vid behandlingen av biometriska uppgifter i form av bilder, eftersom rådata i princip inte får rekonstrueras utifrån den biometriska profilen. 3.8. Unika ID-uppgifter Biometriska uppgifter är unika, och de flesta ger upphov till en unik biometrisk profil (eller bild). Om biometriska uppgifter används i stor skala, särskilt på stora delar av befolkningen, kan de betraktas som ett vedertaget sätt för identifiering i den mening som avses i direktiv 95/46/EG. Då tillämpas artikel 8.7 i direktiv 95/46/EG, och medlemsstaterna skulle vara tvungna att ställa upp villkor för behandlingen av uppgifterna. I de fall då biometriska uppgifter är avsedda att användas som en nyckel för att koppla samman databaser över personuppgifter24, kan särskilda problem uppstå om de registrerade inte har möjlighet att invända mot behandlingen av de biometriska uppgifterna. Detta skulle sannolikt förekomma i förbindelserna mellan medborgare och offentliga myndigheter. Det är därför önskvärt att de biometriska profilerna och deras digitala representationer behandlas matematiskt (kryptering, algoritmer eller hashning) med hjälp av olika 24 Se även punkt 3.2 ovan om förenligt utnyttjande. 10 parametrar för varje biometrisk produkt som används, för att undvika att personuppgifter från olika databaser kombineras genom att jämföra profilerna eller de digitala representationerna. 3.9. Uppförandekod och integritetsskyddande teknik Arbetsgruppen uppmuntrar industrin att utveckla biometriska system som underlättar genomförandet av rekommendationerna i detta arbetsdokument. Om det finns planer på att utveckla europeiska eller internationella standarder på det här området, bör dessa utformas i samarbete med datainspektionerna. På så sätt främjas biometriska system som tillgodoser dataskyddet, minimerar de sociala riskerna och förhindrar missbruk av de biometriska uppgifterna. Arbetsgruppen betonar i detta sammanhang den integritetsskyddande teknikens betydelsefulla roll när det gäller att minimera insamlingen av uppgifter och förhindra olaglig databehandling. Vidare understryker man vikten av uppförandekoder som skall bidra till att på ett riktigt sätt genomföra principerna när det gäller dataskydd genom att ta hänsyn till de särskilda förhållanden som råder i olika sektorer, i överensstämmelse med artikel 27 i direktiv 9546/EG. Utkast till uppförandekoder på gemenskapsnivå överlämnas till arbetsgruppen, som därefter, bland annat, avgör huruvida dessa utkast överensstämmer med de nationella bestämmelserna om dataskydd enligt direktiv 95/46/EG. 11 SLUTSATSER Arbetsgruppen anser att de flesta biometriska uppgifter automatiskt omfattar behandling av personuppgifter. I samband med utvecklingen av biometriska system är det därför nödvändigt att till fullo beakta de principer när det gäller dataskydd som fastställs i direktiv 95/46/EG, med beaktande av biometrins speciella egenskaper, bland annat möjligheten att samla in uppgifter utan den registrerades vetskap och de näst intill säkra banden mellan dessa uppgifter och individen. För att proportionalitetsprincipen, som utgör den centrala beståndsdelen av skyddet i direktiv 95/46/EG, skall kunna iakttas, fordras särskilt vid autentisering/verifiering ett tydligt ställningstagande för biometriska applikationer som inte behandlar uppgifter härrörande från fysiska spår som individer omedvetet lämnat efter sig eller biometriska applikationer som inte lagras i centrala system. Detta gör det möjligt för den registrerade att utöva bättre kontroll över de personuppgifter rörande honom eller henne som behandlas. Arbetsgruppen avser att se över detta arbetsdokument mot bakgrund av de erfarenheter som datainspektionerna gjort och mot bakgrund av den tekniska utvecklingen inom de områden som rör biometriska applikationer. Eftersom biometriska uppgifter i dag tillämpas för allt fler syften inom ett ökande antal olika områden, fordras åtgärder snarast, särskilt när det gäller anställning, visering och immigration samt säkerhet i samband med resor. Eftersom ansvaret för utvecklingen av biometriska system som uppfyller kraven på dataskydd även fortsättningsvis kommer att vila på industrin, vore en fungerande dialog mellan samtliga berörda parter, inklusive datainspektionerna, mycket värdefull, i synnerhet en dialog som utgår ifrån ett utkast till uppförandekod. Utfärdat i Bryssel den 13 juni 2003 På arbetsgruppens vägnar Ordförande Stefano Rodotà 12