arbetsgruppen för skydd av enskilda med avseende på

ARTIKEL 29 - ARBETSGRUPPEN FÖR DATASKYDD
12168/02/SV
WP 80
Arbetsdokument om biometri
Antaget den 1 augusti 2003
Arbetsgruppen har inrättats genom artikel 29 i direktiv 95/46/EG. Arbetsgruppen är EU:s oberoende rådgivande instans för
dataskydd och skydd av privatlivet. Dess arbetsuppgifter framgår av artikel 30 i direktiv 95/46/EG och artikel 14 i direktiv
97/66/EG.
För sekretariatet svarar direktorat E (Tjänster, immateriella och industriella rättigheter, medier samt informationssäkerhet )
inom Europeiska kommissionens generaldirektorat för den inre marknaden, BE-1049 Bryssel, Belgien, Rum Nr C1006/136.
Webbplats: www.europa.eu.int/comm/privacy
ARBETSGRUPPEN
FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV
PERSONUPPGIFTER
inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober
19951,
med beaktande av artiklarna 29, 30.1 a och 30.3 i det direktivet,
med beaktande av dess arbetsordning, särskilt artiklarna 12 och 14 i denna,
HAR ANTAGIT DETTA ARBETSDOKUMENT.
1.
INLEDNING
Den snabba utvecklingen på området för biometrisk teknik och den allt bredare
tillämpningen av olika biometriska tekniker under de senaste åren kräver en noggrann
granskning av dessa med avseende på dataskyddet2. Risken för en utbredd och
okontrollerad användning av biometri föranleder oro beträffande skyddet av individens
grundläggande fri- och rättigheter. Biometriska uppgifter är mycket speciella till sin
natur, eftersom de rör individens beteendemässiga och fysiologiska egenskaper och
möjliggör en unik identifiering av honom eller henne3.
Biometrisk databehandling används i dag ofta i samband med förfaranden för automatisk
autentisering/verifiering och identifiering, särskilt kontroll av tillträde till såväl fysiska
som virtuella rum (dvs. särskilda elektroniska system eller tjänster).
Tidigare begränsade sig användningen av biometri huvudsakligen till DNA-prover och
fingeravtryck. Fingeravtryck användes särskilt i samband med brottsbekämpning (till
exempel brottsutredningar). Om samhället uppmuntrar till att biometriska databaser över
fingeravtryck eller andra biometriska attribut utvecklas också för andra rutinmässiga
tillämpningar, ökar risken för att de kommer att utnyttjas av tredje man i jämförelser eller
forskning för egna ändamål, trots att detta inte avsågs inledningsvis. Tredje man kan
även utgöras av myndigheter med ansvar för brottsbekämpning.
En fara i samband med biometrisk databehandling är i synnerhet att en ökad användning
av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksam på hur
behandlingen av dessa uppgifter kan påverka deras vardag. Om biometri används i
1
Europeiska
gemenskapernas
officiella
tidning
L
281, 23.11.1995,
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
2
Efter den 11 september 2001 har biometri ofta framställts som ett effektivt redskap för att öka den
allmänna säkerheten. Inom Europeiska unionen pågår diskussioner om möjligheten att införa biometri
i ID-kort, pass, resehandlingar och visum. I USA kommer inom en snar framtid biometriskt ID bli
obligatoriskt för utlänningar vid resa till och från landet. År 2003 ändrades ILO-konvention nr 108 för
att möjliggöra obligatorisk biometriskt ID för sjöfolk. Diskussioner pågår även inom andra
internationella forum, såsom G8 och OECD.
3
Den unika identifieringen är emellertid avhängig av olika faktorer, bland annat databasens storlek och
vilken biometrisk metod som används.
2
s.
31,
se:
skolbibliotek till exempel, kan det leda till att barnen blir mindre medvetna om de risker
rörande dataskydd som de eventuellt utsätts för senare i livet.
Syftet med detta arbetsdokument är att bidra till en effektiv och enhetlig tillämpning av
de nationella bestämmelserna om dataskydd som antagits i överensstämmelse med
direktiv 95/46/EG om biometriska system. Dokumentet är främst inriktat mot
biometriska applikationer för autentisering. Arbetsgruppens avsikt är att tillhandahålla
enhetliga riktlinjer för gemenskapen, i synnerhet för de företag som utvecklar
biometriska system och användarna av dessa system.
2.
BESKRIVNING AV BIOMETRISKA SYSTEM
Ett biometriskt system är en tillämpning av den biometriska tekniken som möjliggör
autentisering och/eller identifiering av en person4. Autentiserings-/verifieringsapplikationer
används för en rad olika uppgifter inom vitt skilda områden, och ansvaret för dessa vilar på
ett stort antal olika aktörer.
Varje biometrisk applikation är mer eller mindre beroende av vilket biometriskt attribut som
avses, oavsett om syftet är autentisering/verifiering eller identifiering:
- Universell: Det biometriska attributet finns hos alla personer5.
- Unik: Det biometriska attributet måste vara utmärkande för varje person.
- Permanent: Det biometriska attributet förändras inte med tiden hos varje enskild person.
De biometriska teknikerna kan delas upp i två huvudkategorier: en där stabila uppgifter
används, och en där föränderliga beteendebaserade uppgifter används6.
Till den första kategorin hör olika tekniker för mätning av en persons fysiska och
fysiologiska särdrag. Här ingår bland annat verifiering av fingeravtryck, fingergeometri,
irisigenkänning, analys av näthinnan, ansiktsigenkänning, handgeometri, igenkänning av
örats form, igenkänning av lukt, röstigenkänning, DNA-analys7 och hudporsanalys.
I den andra kategorin ingår olika tekniker för mätning av en persons beteende, bland annat
verifiering av namnteckning, analys av tangenttryckningar och analys av gångstil.
4
Det är viktigt att skilja på autentisering och identifiering. Autentisering besvarar frågan: Är jag den jag
utger mig för att vara? Genom behandling av biometriska uppgifter tillhörande den person som frågar
styrker systemet personens identitet och svarar med ja/nej (en-mot-en-jämförelse). Identifiering
besvarar frågan: Vem är jag? Systemet identifierar den person som frågar genom att skilja honom eller
henne från övriga personer vars biometriska uppgifter också finns lagrade. Systemet fattar ett 1-av-nbeslut och svarar att den person som frågar är X.
5
I detta avseende är inte alla biometriska attribut likvärdiga, och förmågan att skilja en person från en
annan varierar kraftigt beroende på vilken biometrisk metod som används. De mest utmärkande
biometriska attributen tycks vara DNA, näthinnor och fingermönster.
6
Vissa tekniker kan vara både fysiologi- och beteendebaserade.
7
Användning av DNA för biometrisk identifikation ger upphov till särskilda frågor, men dessa
behandlas inte i detta dokument. Det kan nämnas att det i dag inte tycks vara möjligt att upprätta en
DNA-profil för identifieringsändamål i realtid.
3
Med hänsyn till den snabba tekniska utvecklingen och de ökade kraven på säkerhet utformas
många biometriska system så att igenkänning av olika biometriska drag hos användaren
kombineras med annan teknik för identifiering och autentisering. I vissa system kombineras
till exempel ansiktsigenkänning med röstigenkänning. Autentisering kan till exempel ske
genom en kombination av tre olika metoder, baserade på något som personen vet (lösenord,
PIN-kod osv.), något som personen har (symbol, magnetkort, smartkort osv.) och något som
personen är (ett biometriskt kännetecken). För att logga in på en dator kan en användare till
exempel skjuta in ett smartkort, ange ett lösenord och läsa av sitt fingermönster.
Insamlingen av biometriska prover, så kallade biometriska uppgifter (till exempel inspelning
av röst eller bild på fingermönster, iris eller näthinna) sker under ”inregistreringsfasen” med
hjälp av en sensor som är specifik för varje typ av biometrisk metod. Det biometriska
systemet extraherar karakteristiska egenskaper från personens biometriska uppgifter och
upprättar en biometrisk ”profil”. Den biometriska profilen, som är en strukturerad
förminskning av en biometrisk bild, utgör den registrerades biometriska mått. Det är den
biometriska profilen, i digital form, som lagras, inte det biometriska attributet. Behandlingen
av biometriska uppgifter kan även ske i form av rådata (bilder) beroende på hur det
biometriska system som används fungerar8.
Inregistreringsfasen är av särskilt stor betydelse eftersom både rådata, extraktions- och
skyddsalgoritmer (kryptografi, hashing med mera) samt biometriska profiler ingår samtidigt.
Det bör i detta avseende betonas att om rådata innehåller information som kan anses känslig
i den mening som avses i artikel 8 i direktiv 95/46/EG, bör inregistreringen av sådana
uppgifter ske i överensstämmelse med denna artikel (se punkt 3.7 nedan).
En ytterligare aspekt som är viktig ur dataskyddssynpunkt är i vilken form personernas
biometriska profiler lagras. Denna beror på vilken typ av applikation den biometriska
utrustningen skall användas till och på de biometriska profilernas storlek. Biometriska
profiler kan lagras på ett av följande sätt:
a) - Lagring i minnet i den biometriska utrustningen.
b) - Lagring i en central databas.
c) - Lagring i plastkort, optiska kort eller smartkort. Denna lagringsmetod möjliggör för
personen att bära med sig sin biometriska profil som en identifieringsutrustning.
För autentisering/verifiering är det i princip inte nödvändigt att lagra referensuppgifter i en
databas. Det räcker att personuppgifterna lagras decentraliserat. Identifikation är däremot
endast möjlig om referensuppgifter lagras i en central databas, eftersom systemet måste
jämföra personens biometriska profiler eller rådata (bild) med samtliga de biometriska
profiler eller rådata som finns lagrade centralt.
En anmärkning av särskilt stor vikt ur dataskyddssynpunkt är att vissa biometriska system
bygger på information (såsom fingeravtryck eller DNA-prov) som kan samlas in utan att
personen är medveten om detta eftersom han eller hon omedvetet kan lämna spår efter sig.
8
Detta arbetsdokument berör främst biometriska system baserade på biometriska profiler, men det kan
även tillämpas på rådata.
Den speciella karaktären hos rådata kan emellertid fordra en anpassning av datasäkerhetskraven.
4
Genom att applicera en biometrisk algoritm på ett fingeravtryck som hittats på ett dricksglas
går det att avgöra9 om en person finns registrerad i en databas över biometriska uppgifter
och, om så är fallet, avgöra vem personen är genom att jämföra de båda profilerna. Detta
gäller även för andra biometriska system, till exempel dem som bygger på analys av
tangenttryckningar eller ansiktsigenkänning på håll, beroende på de särskilda egenskaperna
hos den teknik som används10. Saken kompliceras å ena sidan av att det är möjligt att samla
in och bearbeta uppgifter utan den registrerades vetskap och å andra sidan av att denna
teknik, oavsett dess nuvarande tillförlitlighet, inbjuder till en generell användning eftersom
den utförs på ett mindre störande sätt. Det förefaller därför nödvändigt att fastställa särskilda
skyddsbestämmelser för denna teknik.
3.
TILLÄMPNINGEN AV BESTÄMMELSER I DIREKTIV 95/46/EG
3.1.
Tillämpning av direktiv 95/46/EG
I artikel 2 a i direktiv 95/46/EG definieras ”personuppgifter” som ”varje upplysning som
avser en identifierad eller identifierbar fysisk person […]”. En identifierbar person är ”en
person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett
identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska,
fysiologiska, mentala […] identitet”. I skäl 26 tillfogas följande förklaring: ”För att avgöra
om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera
vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av
någon annan person.”
Enligt denna definition utgör åtgärder för biometrisk identifiering eller deras digitala
översättning i profilform i de flesta fall personuppgifter11. Det förefaller som om biometriska
uppgifter alltid kan anses utgöra ”upplysning som avser en […] fysisk person”, eftersom de
till sin natur är sådana att de tillhandahåller information om en given person. Vid biometrisk
identifiering är personen vanligtvis identifierbar, eftersom biometriska uppgifter används för
identifiering eller autentisering/verifiering åtminstone i den bemärkelsen att den registrerade
särskiljs från övriga personer12.
Enligt artikel 3.1 i direktiv 95/46/EG skall principerna för skydd av uppgifter tillämpas på
sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på
annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att
ingå i ett register. Direktivet gäller inte om uppgifterna behandlas av en fysisk person som
9
För detta krävs emellertid förmåga att ta prov på fingeravtrycket från glaset utan att skada avtrycket.
Vidare krävs teknisk utrustning för att behandla uppgifterna från fingeravtrycket samt tillgång till
tillverkarens algoritm och/eller databasen över fingeravtrycken.
10
Se punkt 3 om tillämpningen av direktiv 95/46/EG, särskilt punkt 3.3 om skyldigheten att informera
den registrerade.
11
I de fall där biometriska uppgifter, till exempel en biometrisk profil, lagras så att varken den
registeransvarige eller någon annan person kan använda dem på något sätt för att identifiera den
registrerade, bör dessa uppgifter inte klassificeras som personuppgifter.
12
En persons identifierbarhet beror dessutom på tillgängligheten hos övriga uppgifter som – tillsammans
eller var för sig – möjliggör identifiering av personen i fråga. Möjligheten till en ”direkt
identifikation” genom ”en eller flera faktorer som är specifika för hans fysiska […] identitet” anges
uttryckligen i definitionen av personuppgifter i artikel 2 a i direktiv 95/46/EG.
5
ett led i verksamhet av rent privat natur eller som har samband med denna persons hushåll.
Många biometriska applikationer för hushållsändamål kommer att ingå i denna kategori.
Vid sidan av dessa särskilda undantag kan behandling av biometriska uppgifter endast anses
laglig om alla de ingående processerna – från inregistreringsfasen och framåt – utförs enligt
bestämmelserna i direktiv 95/46/EG.
I detta dokument behandlas inte alla de frågor som uppkommer i samband med
tillämpningen av direktiv 95/46/EG på biometriska uppgifter. Endast de mest relevanta
frågorna tas upp för behandling, och dokumentet ger därför inte någon fullständig översikt
över konsekvenserna av tillämpningen av direktiv 95/46/EG.
3.2.
Ändamåls- och proportionalitetsprincipen
Enligt artikel 6 i direktiv 95/46/EG skall personuppgifter samlas in för särskilda,
uttryckligt angivna och berättigade ändamål. Senare behandling får inte ske på ett sätt
som är oförenligt med dessa ändamål. De skall dessutom vara adekvata och relevanta och
får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de
har samlats in och för vilka de senare behandlas (ändamålsprincipen).
För att denna princip skall iakttas krävs för det första att ändamålet för insamlingen och
behandlingen av biometriska uppgifter klart definieras. Vidare krävs en utvärdering av
om hänsyn tas till proportionalitet och legitimitet, med beaktande av de risker som
uppstår för skyddet av individens grundläggande fri- och rättigheter, och i synnerhet med
beaktande av om det är möjligt att uppnå det avsedda ändamålet på ett mindre
integritetskränkande sätt. Proportionaliteten har hittills utgjort det främsta kriteriet i
nästan alla beslut som datainspektionerna har fattat i frågor rörande behandling av
biometriska uppgifter13.
När det gäller behörighetskontroll (autentisering/verifiering) är det arbetsgruppens
uppfattning att biometriska system knutna till fysiska drag som inte lämnar spår (till
exempel handens struktur, men inte fingermönster) eller biometriska system knutna till
fysiska drag som lämnar spår men inte lagrar uppgifter som innehas av någon annan än
den person som berörs (det vill säga uppgifterna lagras inte i utrustningen för
behörighetskontroll eller lagras i en central databas) medför lägre risk för skyddet av
individens grundläggande fri- och rättigheter14. Flera datainspektioner stödjer denna åsikt
och anser att biometrisk information inte bör lagras i en databas, utan uteslutande i
utrustning som endast användaren har tillgång till, såsom ett smartkort, en mobiltelefon
eller ett bankkort15. I applikationer där autentisering/verifiering kan ske utan att
biometriska uppgifter behöver lagras centralt bör med andra ord överdriven
identifieringsteknik inte tillämpas.
13
Beslut av bland andra de nederländska, franska, tyska, italienska och grekiska datainspektionerna.
14
Två olika fall kan urskiljas: å ena sidan då biometriska uppgifter behandlas centralt, å andra sidan då
biometriska referensuppgifter lagras i mobil utrustning och matchningsprocessen sker på ett kort, inte i
en sensor, eller när sensorn är en del av den mobila utrustningen.
15
De mekanismer som införts för att lösa problemet med borttappade, stulna eller skadade kort bör
beaktas, och dem av dessa som inte medför att biometriska uppgifter lagras bör främjas. När så är
möjligt bör uppgifterna samlas in på nytt direkt från den registrerade.
6
Arbetsgruppen anser därför att användningen av andra typer av applikationer (det vill
säga baserade på biometriska profiler av fingeravtryck lagrade digitalt i en terminal eller
en central databas) noggrant bör bedömas innan de tas i bruk. Om den här typen av
system skall införas, till exempel vid högsäkerhetsanläggningar16, bör det övervägas om
sådan databehandling skall användas som är förknippad med risker i den mening som
avses i artikel 20 i direktiv 95/46/EG och därför skall underkastas förhandskontroll av
datainspektionerna i enlighet med nationell lagstiftning (se punkt 3.5).
I direktiv 95/46/EG förbjuds vidare behandling som är oförenlig med det ändamål för
vilket uppgifterna samlades in. Detta skulle till exempel vara fallet om biometriska
uppgifter som behandlas i samband med en behörighetskontroll skulle användas i syfte
att bedöma den registrerades mentala tillstånd eller för övervakning på arbetsplatsen.
Nödvändiga åtgärder måste vidtas för att förhindra sådant oförenligt utnyttjande17. I
direktiv 95/46/EG medges undantag från förbudet om vidare behandling av uppgifter för
oförenliga ändamål, men särskilda villkor gäller.
Det är allmänt accepterat att risken för utnyttjande av biometriska uppgifter från fysiska
spår som omedvetet efterlämnats av individer (till exempel fingeravtryck) för oförenliga
ändamål är relativt liten, om uppgifterna inte lagras i centrala databaser, utan innehas av
individen själv och är oåtkomliga för en tredje person. Central lagring av biometriska
uppgifter ökar även risken för användning av dessa som nyckel för sammankoppling av
olika databaser, vilket skulle kunna ge upphov till detaljerade kartläggningar av
individens vanor både i den offentliga och privata sektorn. Vidare ger frågan om
förenliga ändamål i sin tur upphov till frågan om driftskompatibilitet mellan olika system
där biometri ingår. Den standardisering som krävs för att skapa driftskompatibilitet
skulle kunna leda till en ökad sammankoppling av olika databaser.
Användningen av biometri ger dessutom upphov till frågan om proportionaliteten hos
varje kategori av uppgifter med hänsyn till ändamålet med behandlingen. Biometriska
uppgifter får endast användas om de är lämpliga och relevanta samt om antalet uppgifter
som behandlas inte är orimligt stort. Detta fordrar en strikt bedömning av om de
behandlade uppgifterna är nödvändiga och proportionella18.
Den franska
datainspektionen (Commission Nationale de l'Informatique et des Libertés, CNIL) har till
exempel vägrat godkänna att fingeravtryck används för att ge skolbarn tillträde till
skolbespisningen19 men har godtagit att handgeometri används för samma ändamål. Den
portugisiska datainspektionen beslutade nyligen att inte tillåta användning av biometriska
system (fingeravtryck) vid ett universitet i syfte att kontrollera flit och punktlighet hos
16
Den tekniska utvecklingen inom biometriska tekniken tillåter för närvarande inte rena
identifieringslösningar, som är tillförlitliga och kan utföras i realtid, för populationer av mer normal
storlek, och det är inte troligt att sådana lösningar kommer att göras tillgängliga inom den närmaste
framtiden.
17
Såsom påpekats ovan måste ändamålet tydligt anges.
18
Dessutom måste möjlighet ges att förbli anonym eller använda pseudonymer under vissa
omständigheter. De mekanismer som införts för att lösa problemet med borttappade, stulna eller
skadade kort måste tas i beaktande i detta sammanhang, och de av dessa som inte medför att
biometriska uppgifter lagras bör främjas. När så är möjligt bör uppgifterna samlas in på nytt direkt
från den registrerade.
19
Förenade kungarikets datainspektion tycks emellertid ha godkänt användning av fingeravtryck under
liknande omständigheter i de fall då lämpliga säkerhetsåtgärder vidtagits.
7
den icke undervisande personalen20. Den tyska datainspektionen uttalade i ett beslut sitt
stöd för att biometriska kännetecken införs i identitetshandlingar för att förhindra
förfalskning, under förutsättning att uppgifterna lagras på ett mikrochip i kortet i stället
för i en databas för jämförelse med ägarens fingeravtryck.
Ett särskilt problem består i att biometriska uppgifter ofta innehåller mer information än
vad som är nödvändigt för identifiering eller autentisering/verifiering. Sannolikheten att
så är fallet är större när det gäller originalbilden (rådata), eftersom den biometriska
profilen kan och bör konstrueras tekniskt så att icke nödvändiga uppgifter utesluts. Icke
nödvändiga uppgifter bör förstöras snarast möjligt21. Vissa biometriska uppgifter kan
dessutom avslöja en persons etniska ursprung eller hälsotillstånd. (Se punkt 3.7 nedan.)
Det bör avslutningsvis nämnas att biometriska system kan utformas på så sätt att de kan
betraktas som integritetsskyddande teknik, bland annat eftersom användningen av dem
kan medföra en minskad behandling av andra personuppgifter, såsom namn, adress och
bostad.
3.3.
Korrekt insamling och information till den registrerade
Behandlingen och i synnerhet insamlingen av biometriska uppgifter bör ske på ett
korrekt sätt22. Den registeransvarige bör informera den registrerade i överensstämmelse
med artiklarna 10 och 11 i direktiv 95/46/EG23. Detta omfattar särskilt att ändamålet och
den registeransvariges identitet tydligt anges (den registeransvarige är ofta ansvarig för
driften av det biometriska systemet eller tillämpningen av den biometriska tekniken).
System där biometriska uppgifter samlas in utan den registerades vetskap måste
undvikas. Vissa biometriska system, som ansiktsigenkänning på håll, insamling av
fingeravtryck och avlyssning, utgör en större risk i detta hänseende.
3.4.
Kriterier för att tillåta uppgiftsbehandling
Behandlingen av biometriska uppgifter måste ske med utgångspunkt i en av de grunder
för tillåtelse som anges i artikel 7 i direktiv 95/46/EG.
Arbetsgruppen betonar att, om samtycke används som legitimitetsgrund av den
registeransvarige, måste den registeransvarige iaktta villkoren i artikel 2 i direktiv
20
Den portugisiska datainspektionen ansåg att ett sådant system var oproportionerligt och orimligt med
hänsyn till ändamålet med databehandlingen. I systemet skulle uppgifter lagras i en biometrisk
utrustning, och den universitetspersonal som skulle kontrolleras uppgick till ungefär 140 stycken.
21
Tillämplig när det gäller utplånandet av denna information är också artikel 6.1 e i direktiv 95/46/EG,
som föreskriver att personuppgifterna inte skall lagras under en längre tid än vad som är nödvändigt
för de ändamål för vilka uppgifterna behandlades.
22
Artikel 6 a i direktiv 95/46/EG.
23
Undantag från skyldigheten att informera de registrerade enligt artiklarna 10 och 11 i direktiv
95/46/EG bör baseras på rättsliga åtgärder och utgöra en nödvändig åtgärd i syfte att begränsa
omfattningen av denna skyldighet att informera för att ta tillvara de intressen som anges i artikel 13 i
direktiv 95/46/EG (statens säkerhet, förebyggande, undersökning, avslöjande av brott, åtal för brott
och så vidare).
8
95/46/EG (varje slag av frivillig, särskild och informerad viljeyttring genom vilken den
registrerade godtar behandling av personuppgifter som rör honom).
3.5.
Förhandskontroll – anmälan
Såsom nämnts tidigare stöder arbetsgruppen en användning av biometriska system, om
spår varken lagras i en terminal eller i en central databas (se punkt 3.2.). Om det däremot
redan finns planer på att införa sådana system, och med beaktande av risken för
utnyttjande för andra ändamål och av de särskilda riskerna i fall av obehörig åtkomst,
rekommenderar arbetsgruppen att medlemsstaterna låter datainspektionerna utföra en
förhandskontroll av systemen i enlighet med artikel 20 i direktiv 95/46/EG, eftersom
denna typ av databehandling troligen kommer att medföra särskilda risker för de
registerades fri- och rättigheter. Om medlemsstaterna avser att införa bestämmelser om
förhandskontroller vid biometrisk databehandling, bör de nationella datainspektionerna
ges möjlighet att yttra sig innan sådana bestämmelser införs.
3.6.
Säkerhetsåtgärder
Den registeransvarige måste, i enlighet med artikel 17 i direktiv 95/46/EG, vidta
lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från
förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom
olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till
uppgifterna, särskilt om behandlingen innefattar överföring av biometriska uppgifter i ett
nätverk. Säkerhetsåtgärder måste vidtas när biometriska uppgifter behandlas (lagring,
överföring, extrahering, jämförelse osv.), i synnerhet om den registeransvarige sänder
sådana uppgifter via Internet. Exempel på säkerhetsåtgärder är kryptering av de
biometriska profilerna och skydd av krypteringsnycklarna, som tillsammans med
behörighetskontrollen och åtkomstskyddet skulle göra det praktiskt taget omöjligt att
rekonstruera de ursprungliga uppgifterna utifrån profilerna.
För detta ändamål bör vissa nya tekniska lösningar beaktas. En intressant utveckling är
möjligheten att använda biometriska uppgifter som krypteringsnycklar. Detta skulle på
förhand minska risken för den registrerade, eftersom de biometriska uppgifterna endast
kan dekrypteras genom en ny insamling av biometriska uppgifter från den registrerade
själv. Det är på detta sätt möjligt att undvika att det skapas databaser över biometriska
profiler som kan utnyttjas för andra ändamål än de avsedda.
Nödvändiga säkerhetsåtgärder bör vidtas i inledningen av behandlingen, i synnerhet
under inregistreringsfasen då biometriska uppgifter överförs till biometriska profiler eller
bilder. Det måste stå klart att varje brist på integritet, konfidentialitet och åtkomst i
samband med databaserna inverkar högst menligt på samtliga framtida applikationer som
baseras på informationen i dessa databaser och förorsakar irreparabla skador för de
registrerade. Om till exempel en behörig persons fingeravtryck associeras med en
obehörig persons identitet, skulle den obehöriga personen kunna komma åt de tjänster
som är tillgängliga för innehavaren av fingeravtrycken utan att personen är berättigad till
detta. Detta skulle ge upphov till identitetsstölder, som – oavsett om de upptäcks – skulle
medföra att personens fingeravtryck blir otillförlitliga för framtida applikationer och
därigenom skulle inskränka hans/hennes frihet.
Fel som uppstår i biometriska system kan få allvarliga konsekvenser för individen. I
synnerhet kan felaktiga avvisanden av behöriga personer eller felaktiga godkännanden av
personer utan behörighet skapa allvarliga problem på många olika nivåer. Användningen
av biometriska uppgifter bör a priori minska risken för sådana fel. Den kan emellertid
9
även ge upphov till den felaktiga föreställningen att identifieringen eller
autentiseringen/verifieringen av den registrerade alltid är riktig. Det kan bli svårt eller
omöjligt för den registrerade att bevisa motsatsen. Ett system kan till exempel felaktigt
identifiera en registrerad som en person som inte bör tillåtas att resa med ett flygplan
eller som en person som inte bör tillåtas inresa i ett särskilt land, och personen skulle ha
mycket svårt att lösa detta problem med så ”oemotsägliga” bevis mot sig. Det bör här på
nytt betonas att varje beslut som har rättsliga följder för individen endast bör fattas efter
det att resultatet av den automatiska behandlingen har bekräftats i enlighet med artikel 15
i direktiv 95/46/EG.
Slutligen skall nämnas att användningen av biometri kan förbättra kontrollförfarandena
vid till exempel tillgång till personuppgifter rörande tredje man, såsom stöld och
missbruk (tillståndsförfaranden).
3.7.
Känsliga uppgifter
Vissa biometriska uppgifter bör betraktas som känsliga i den mening som avses i artikel
8 i direktiv 95/46/EG, särskilt uppgifter som avslöjar etniskt ursprung eller hälsotillstånd.
I biometriska system baserade på ansiktsigenkänning kan det till exempel förekomma
behandling av uppgifter som avslöjar etniskt ursprung. I sådana fall tillämpas de
särskilda skyddsåtgärder som anges i artikel 8, utöver direktivets allmänna
skyddsprinciper.
Detta innebär inte att all behandling av biometriska uppgifter med nödvändighet rör
känsliga uppgifter. Huruvida en behandling rör känsliga uppgifter eller inte är en
bedömningsfråga som hänger samman med vilken specifik biometrisk egenskap och
biometrisk applikation som används. Risken för detta är sannolikt högre vid
behandlingen av biometriska uppgifter i form av bilder, eftersom rådata i princip inte får
rekonstrueras utifrån den biometriska profilen.
3.8.
Unika ID-uppgifter
Biometriska uppgifter är unika, och de flesta ger upphov till en unik biometrisk profil
(eller bild). Om biometriska uppgifter används i stor skala, särskilt på stora delar av
befolkningen, kan de betraktas som ett vedertaget sätt för identifiering i den mening som
avses i direktiv 95/46/EG. Då tillämpas artikel 8.7 i direktiv 95/46/EG, och
medlemsstaterna skulle vara tvungna att ställa upp villkor för behandlingen av
uppgifterna.
I de fall då biometriska uppgifter är avsedda att användas som en nyckel för att koppla
samman databaser över personuppgifter24, kan särskilda problem uppstå om de
registrerade inte har möjlighet att invända mot behandlingen av de biometriska
uppgifterna. Detta skulle sannolikt förekomma i förbindelserna mellan medborgare och
offentliga myndigheter.
Det är därför önskvärt att de biometriska profilerna och deras digitala representationer
behandlas matematiskt (kryptering, algoritmer eller hashning) med hjälp av olika
24
Se även punkt 3.2 ovan om förenligt utnyttjande.
10
parametrar för varje biometrisk produkt som används, för att undvika att personuppgifter
från olika databaser kombineras genom att jämföra profilerna eller de digitala
representationerna.
3.9.
Uppförandekod och integritetsskyddande teknik
Arbetsgruppen uppmuntrar industrin att utveckla biometriska system som underlättar
genomförandet av rekommendationerna i detta arbetsdokument. Om det finns planer på
att utveckla europeiska eller internationella standarder på det här området, bör dessa
utformas i samarbete med datainspektionerna. På så sätt främjas biometriska system som
tillgodoser dataskyddet, minimerar de sociala riskerna och förhindrar missbruk av de
biometriska uppgifterna. Arbetsgruppen betonar i detta sammanhang den
integritetsskyddande teknikens betydelsefulla roll när det gäller att minimera insamlingen
av uppgifter och förhindra olaglig databehandling.
Vidare understryker man vikten av uppförandekoder som skall bidra till att på ett riktigt
sätt genomföra principerna när det gäller dataskydd genom att ta hänsyn till de särskilda
förhållanden som råder i olika sektorer, i överensstämmelse med artikel 27 i direktiv
9546/EG.
Utkast till uppförandekoder på gemenskapsnivå överlämnas till arbetsgruppen, som
därefter, bland annat, avgör huruvida dessa utkast överensstämmer med de nationella
bestämmelserna om dataskydd enligt direktiv 95/46/EG.
11
SLUTSATSER
Arbetsgruppen anser att de flesta biometriska uppgifter automatiskt omfattar behandling
av personuppgifter. I samband med utvecklingen av biometriska system är det därför
nödvändigt att till fullo beakta de principer när det gäller dataskydd som fastställs i
direktiv 95/46/EG, med beaktande av biometrins speciella egenskaper, bland annat
möjligheten att samla in uppgifter utan den registrerades vetskap och de näst intill säkra
banden mellan dessa uppgifter och individen.
För att proportionalitetsprincipen, som utgör den centrala beståndsdelen av skyddet i
direktiv 95/46/EG, skall kunna iakttas, fordras särskilt vid autentisering/verifiering ett
tydligt ställningstagande för biometriska applikationer som inte behandlar uppgifter
härrörande från fysiska spår som individer omedvetet lämnat efter sig eller biometriska
applikationer som inte lagras i centrala system. Detta gör det möjligt för den registrerade
att utöva bättre kontroll över de personuppgifter rörande honom eller henne som
behandlas.
Arbetsgruppen avser att se över detta arbetsdokument mot bakgrund av de erfarenheter
som datainspektionerna gjort och mot bakgrund av den tekniska utvecklingen inom de
områden som rör biometriska applikationer. Eftersom biometriska uppgifter i dag
tillämpas för allt fler syften inom ett ökande antal olika områden, fordras åtgärder
snarast, särskilt när det gäller anställning, visering och immigration samt säkerhet i
samband med resor.
Eftersom ansvaret för utvecklingen av biometriska system som uppfyller kraven på
dataskydd även fortsättningsvis kommer att vila på industrin, vore en fungerande dialog
mellan samtliga berörda parter, inklusive datainspektionerna, mycket värdefull, i
synnerhet en dialog som utgår ifrån ett utkast till uppförandekod.
Utfärdat i Bryssel den 13 juni 2003
På arbetsgruppens vägnar
Ordförande
Stefano Rodotà
12