29 ARTIKLAN MUKAINEN TIETOSUOJATYÖRYHMÄ

Transkriptio

1 29 ARTIKLAN MUKAINEN TIETOSUOJATYÖRYHMÄ 12168/02/FI WP 80 Valmisteluasiakirja biotunnisteista Hyväksytty Työryhmä on perustettu direktiivin 95/46/EY 29 artiklan mukaisesti. Se on riippumaton EU:n neuvoa-antava elin tietosuojan ja yksityisyyden suojan alalla. Sen tehtävistä on säädetty direktiivin 95/46/EY 30 artiklassa ja direktiivin 97/66/EY 14 artiklassa. Sihteeristö: Euroopan komissio, sisämarkkinoiden pääosasto, linja E (palvelut, teollis- ja tekijänoikeudet, viestimet ja tietosuoja), B 1049 Bryssel, Belgia, toimisto C100-6/136. Internet:

2 Euroopan parlamentin ja neuvoston 24 päivänä lokakuuta 1995 antamalla direktiivillä 95/46/EY 1 perustettu TIETOSUOJATYÖRYHMÄ, joka ottaa huomioon mainitun direktiivin 29 artiklan ja 30 artiklan 1 kohdan a alakohdan ja 3 kohdan, sekä ottaa huomioon työjärjestyksensä, erityisesti sen 12 ja 14 artiklan, on hyväksynyt seuraavan valmisteluasiakirjan: 1. JOHDANTO Biometristen tunnistusmenetelmien nopea kehitys ja viime vuosina yleistynyt soveltaminen edellyttää niiden huolellista tarkastelua tietosuojan näkökulmasta 2. Biotunnisteiden laaja ja sääntelemätön käyttö aiheuttaa huolta yksilön perusoikeuksien ja -vapauksien kunnioittamisesta. Tämän tyyppiset tiedot ovat luonteeltaan erityisiä, koska ne liittyvät yksilön käyttäytymiseen ja psykologisiin ominaispiirteisiin ja voivat mahdollistaa hänen yksilöllisen tunnistamisensa 3. Biometrisiä tietoja käsitellään nykyisin usein automaattisen todentamis- ja tunnistamismenettelyn yhteydessä. Erityisesti sitä käytetään valvottaessa pääsyä sekä fyysisille että virtuaalisille alueille (eli pääsyä sähköisiin järjestelmiin tai palveluihin). Aikaisemmin biotunnisteiden käyttö rajoittui lähinnä DNA:n ja sormenjälkien tutkimisen alueille. Sormenjälkiä kerättiin erityisesti lain täytäntöönpanotarkoituksia varten (esim. rikosten tutkinnassa). Jos yhteiskunta rohkaisee kehittämään sormenjälkiä tai muita biometrisiä tietokantoja uusia rutiinisovelluksia varten, se saattaa lisätä mahdollisuutta, että ulkopuoliset käyttävät näitä tietoja vertailu- ja tutkimusmateriaalina omiin tarkoituksiinsa ilman, että tällaista tarkoitusta olisi alun perin otettu huomioon. Nämä ulkopuoliset voivat olla myös lain täytäntöönpanoviranomaisia. Erityinen biometrisiin tietoihin liittyvä huolenaihe on, että suuri yleisö saattaa kyseisten tietojen käytön yleistyessä tulla välinpitämättömäksi sen suhteen, mitä seurauksia niiden käsittelyllä saattaa olla päivittäiseen elämään. Esimerkiksi biotunnisteiden käyttö koulujen kirjastoissa voi vähentää lasten tietoisuutta tietosuojariskeistä, jotka voivat vaikuttaa heidän myöhempään elämäänsä EYVL L 281, , s. 31, saatavilla Internet-osoitteessa Biometriset tunnistusmenetelmät on vuoden 2001 syyskuun 11. päivän jälkeen esitetty usein hyvänä keinona parantaa yleistä turvallisuutta. Euroopan unionissa keskustellaan biometristen menetelmien käyttöönotosta henkilöllisyystodistuksissa, passeissa, matkustusasiakirjoissa ja viisumeissa. Yhdysvallat vaatii pian biometrisiä tunnistetietoja ulkomaalaisilta, jotka tulevat maahan tai poistuvat sieltä. ILO:n yleissopimusta nro 108 muutettiin vuonna 2003 niin, että siinä määrätään pakolliseksi merenkulkijoita koskevien biotunnistetietojen tallentaminen. Aiheesta keskustellaan myös muilla kansainvälisillä foorumeilla kuten G8-maiden kesken, OECD:n piirissä jne. Yksilöllinen tunnistaminen riippuu kuitenkin eri tekijöistä, kuten tiedoston koosta ja käytettyjen biometristen tietojen tyypistä. 2

3 Tämän asiakirjan tarkoituksena on edistää direktiivin 95/46/EY mukaisesti hyväksyttyjen tietosuojaa koskevien kansallisten säännösten tehokasta ja yhdenmukaista soveltamista biometrisiin järjestelmiin. Tässä asiakirjassa keskitytään ennen kaikkea biometrisiin sovelluksiin, jotka on tarkoitettu todentamiseen ja varmentamiseen. Työryhmä pyrkii laatimaan yhtenäiset eurooppalaiset suuntaviivat erityisesti biometrisiä järjestelmiä tuottavalle teollisuudelle ja kyseisten tekniikkojen käyttäjille. 2. BIOMETRISTEN JÄRJESTELMIEN KUVAUS Biometriset järjestelmät ovat biometristen tekniikkojen sovelluksia, jotka mahdollistavat henkilön automaattisen tunnistamisen ja/tai hänen henkilöllisyytensä todentamisen/varmentamisen 4. Todentamis-/varmentamissovelluksia käytetään usein keskenään täysin erilaisiin alueisiin kuuluviin ja monien eri yksiköiden vastuulla suoritettaviin eri tehtäviin. Jokainen biometrinen tieto, riippumatta siitä, käytetäänkö sitä todentamiseen/varmentamiseen vai tunnistamiseen, riippuu enemmän tai vähemmän siitä, että kyseinen tieto on: universaali: biometrinen tieto on olemassa kaikilla henkilöillä 5 ; yksilöllinen: biometrisen tiedon on oltava jokaisella henkilöllä erilainen; ja pysyvä: kuhunkin henkilöön liittyvän biometrisen tiedon ominaisuudet pysyvät muuttumattomina. Biometrisiä tekniikkoja on kahta päätyyppiä riippuen siitä, käytetäänkö pysyviä tietoja vai dynaamisia käyttäytymiseen liittyviä tietoja 6. On olemassa fyysisiä ja fysiologiaan perustuvia tekniikkoja, joilla mitataan henkilön fysiologisia ominaisuuksia ja joihin kuuluvat: sormenjälkien varmentaminen, sormen kuvan analysointi, silmän iiriksen tunnistus, verkkokalvon analysointi, kasvojen tunnistus, käden ääriviivojen tunnistus, korvan muodon tunnistus, kehon hajun tunnistus, äänen tunnistus, DNA-analyysi 7, hikihuokosten analyysi jne. Toiseksi on olemassa käyttäytymiseen perustuvia tekniikkoja, joilla mitataan henkilön käyttäytymistä ja joihin kuuluvat käsinkirjoitetun allekirjoituksen todentaminen, näppäinkosketuksen analysointi, liikkumistavan analysointi jne Henkilöllisyyden varmentamisen (todentamisen) ja tunnistamisen välillä on tärkeä ero. Varmentaminen vastaa kysymykseen "Olenko se, joka väitän olevani?". Järjestelmää käytetään henkilöllisyyden varmentamiseen käsittelemällä kysyvään henkilöön liittyviä biometrisiä tietoja ja antamalla kyllä tai ei -vastaus (1:1-vertailu). Tunnistaminen vastaa kysymykseen "Kuka olen?". Järjestelmällä tunnistetaan kysyvä henkilö erottamalla tämä muista henkilöistä, joiden biometriset tiedot on myös tallennettu. Tässä tapauksessa järjestelmä antaa 1 n:stä -vastauksen vastaamalla, että kysyvä henkilö on X. Kaikki biometriset tiedot eivät ole tässä suhteessa samankaltaisia, ja henkilön erottaminen toisesta on hyvin erilaista riippuen käytettävien biometristen tietojen laadusta. Kaikkein yksilöllisimpiä biometrisiä tietoja näyttävät olevan DNA, silmän verkkokalvo ja sormenjälki. Jotkin tekniikat voivat olla sekä fysiologisia että käyttäytymiseen liittyviä. Vaikka DNA:n käyttö biometriseen tunnistamiseen herättää erityiskysymyksiä, niitä ei käsitellä tässä asiakirjassa. Voidaan todeta, että DNA-profiilin käyttö tosiaikaisena tunnistusvälineenä ei näytä olevan vielä mahdollista. 3

4 Tekniikan nopea kehitys ja lisääntynyt huoli turvallisuudesta ovat johtaneet siihen, että monet biometriset järjestelmät toimivat yhdistämällä käyttäjän erilaisia biometrisiä menetelmiä muihin tunnistus- tai varmentamistekniikkoihin. Joissakin järjestelmissä yhdistetään kasvojen tunnistaminen ja äänen rekisteröinti. Varmennukseen voidaan käyttää kolmea eri menetelmää yhdessä. Ne voivat olla jotain, mitä henkilö tietää (salasana, PINkoodi jne.), mitä henkilöllä on (rahake, CAD-avain, älykortti jne.) ja mitä henkilö on (jokin biometrinen piirre). Esimerkiksi tietokoneeseen voi syöttää älykortin, kirjoittaa salasanan ja esittää sille oman sormenjälkensä. Biometristen näytteiden, niin kutsuttujen biometristen tietojen (esimerkiksi sormenjälkikuvien, iiriksen tai verkkokalvon kuvien, ääninäytteiden), kerääminen suoritetaan vaiheessa, jota kutsutaan "rekisteröinniksi", käyttäen kullekin biotunnisteelle tyypillistä sensoria. Biometrinen järjestelmä erottelee biometrisistä tiedoista käyttäjäkohtaiset piirteet ja rakentaa biometrisen "mallin". Malli on järjestelmällisesti supistettu biometrinen kuva, yksilön tallennetut biometriset mitat. Digitalisoitu malli tallennetaan varsinaisen biometrisen tiedon sijaan. Biometrisiä tietoja voidaan lisäksi käsitellä raakatietoina (kuvana) riippuen siitä, miten valittu biometrinen tieto toimii 8. Rekisteröintivaiheella on ratkaiseva merkitys, koska se on ainoa vaihe, jossa raakatiedot, poiminta- ja suojausalgoritmit (salakirjoitus, hajautus jne.) sekä mallit ovat kaikki samanaikaisesti käytettävissä. Tässä yhteydessä on korostettava, että jos raakatiedot paljastavat tietoja, joita voidaan pitää direktiivin 95/46/EY 8 artiklassa tarkoitettuina arkaluonteisina tietoina, niiden rekisteröintiprosessi on toteutettava kyseisen säännöksen mukaisesti (ks. jäljempänä 3.7 kohta). Toinen myös tietosuojan kannalta tärkeä kysymys on muoto, jossa käyttäjän malleja säilytetään. Tämä riippuu sovelluksen tyypistä, jossa biometristä välinettä käytetään, ja itse mallien koosta. Mallien säilytyksessä voidaan käyttää jotain seuraavista tavoista: a) biometrisen välineen muisti; b) keskitetty tietokanta; c) muovikortit, optiset kortit tai älykortit. Tämä säilytysmenetelmä antaa käyttäjille mahdollisuuden kuljettaa malleja mukanaan tunnistusvälineinä. Tietojen tallentaminen tietokantaan ei ole varmentamista/todentamista varten periaatteessa välttämätöntä, vaan henkilötietojen hajautettu säilytys riittää. Tunnistaminen on toisaalta mahdollista vain säilyttämällä vertailutietoja keskitetyssä tietokannassa, koska järjestelmä ei pysty varmentamaan rekisteröidyn henkilöllisyyttä, ellei se pysty vertaamaan hänen mallejaan raakatietoihin (kuviin) kaikista niistä henkilöistä, joiden tiedot on jo varastoitu keskitetysti. Tietosuojan kannalta ratkaisevaa on myös se, että jotkin biometriset järjestelmät perustuvat tietoihin, kuten sormenjälkiin tai DNA-näytteisiin, joita on mahdollista kerätä rekisteröidyn tietämättä, koska tämä saattaa huomaamattaan jättää jälkiä. Sovellettaessa biometrisiä 8 Tässä asiakirjassa käsitellään lähinnä biometrisiä järjestelmiä, jotka perustuvat malleihin ja joita voitaisiin soveltaa myös raakatietoina. Raakatiedon erityispiirteet voivat kuitenkin aiheuttaa tarpeen mukauttaa tietosuojavaatimuksia. 4

5 algoritmeja lasista löytyneeseen sormenjälkeen voidaan saada 9 malleja vertaamalla selville, onko kyseisen henkilön biometriset tiedot tallennettu tietokantaan ja jos on, kuka tämä henkilö on. Sama koskee käytettävän tekniikan erityispiirteiden vuoksi myös muita biometrisiä järjestelmiä kuten näppäinkosketuksen analysointia tai kasvonpiirteiden etätunnistusta 10. Ongelmallinen seikka on toisaalta se, että tämä tietojen keruu ja käsittely voi tapahtua rekisteröidyn tietämättä, ja toisaalta se, että huolimatta biometristen tekniikkojen nykyisestä luotettavuudesta, biometrisiä tekniikkoja on niiden huomaamattomuuden vuoksi mahdollista käyttää hyvin kattavasti. Tästä syystä näyttää tarpeelliselta ottaa käyttöön erityisiä niitä koskevia varotoimenpiteitä. 3. DIREKTIIVIN 95/46/EY PERIAATTEIDEN SOVELTAMINEN 3.1. Direktiivin 95/46/EY soveltamisala Direktiivin 95/46/EY 2 artiklan a kohdan mukaisesti "henkilötiedoilla" tarkoitetaan "kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä ( ) koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen ( ) tekijän perusteella". Johdanto-osan 26 kappaleessa lisätään seuraava selitys "sen määrittämiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen henkilön tunnistamiseksi käyttää". Tämän määritelmän mukaisesti biometristä tunnistamista tai niiden digitaaliseksi malliksi muuntamista koskevissa toimenpiteissä on useimmiten kysymys henkilötiedoista 11. Biometrisiä tietoja voidaan ilmeisesti aina pitää "luonnollista henkilöä koskevina tietoina", koska kyseiset tiedot ovat perusluonteeltaan tiettyä henkilöä koskevia tietoja. Biometrisen tunnistamisen yhteydessä henkilö on yleensä tunnistettavissa, koska biometrisiä tietoja käytetään tunnistamiseen tai varmentamiseen/todentamiseen ainakin siinä mielessä, että rekisteröity voidaan erottaa kaikista muista henkilöistä 12. Direktiivin 95/46/EY 3 artiklan 1 kohdan mukaisesti tietosuojaa koskevia periaatteita sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Direktiiviä ei sovelleta, jos tietoja käsittelee luonnollinen henkilö puhtaasti henkilökohtaisen tai kotitalouteen liittyvän toiminnan yhteydessä. Monet kotitalouskäyttöön tarkoitetut biometriset sovellukset kuuluvat tähän luokkaan Tämä edellyttää kuitenkin ainakin tiettyjä välineitä, kuten mahdollisuutta saada sormenjälki lasista sitä vahingoittamatta, teknisiä välineitä sormenjälkitietojen käsittelemiseksi ja mahdollisuutta käyttää tietojen järjestäjän algoritmeja ja/tai sormenjälkitietokantaa. Ks. 3 kohta direktiivin 95/46/EY soveltamisesta ja erityisesti 3.3 kohta ilmoitusvelvollisuudesta rekisteröidylle. Jos biometriset tiedot kuten malli varastoidaan tavalla, jota käyttäen rekisterinpitäjä tai joku muu ei voi kohtuudella tunnistaa rekisteröityä, tietoja ei tule luokitella henkilötiedoiksi. Henkilön tunnistettavuus riippuu myös muiden tietojen saatavuudesta, jotka mahdollistavat yhdessä tai erikseen kyseisen henkilön tunnistamisen. Henkilön "suoran tunnistamisen" mahdollisuus "yhden tai useamman hänelle tunnusomaisen fyysisen tekijän perusteella" mainitaan nimenomaisesti direktiivin 95/46/EY 2 artiklan a kohdassa olevassa henkilötietojen määritelmässä. 5

6 Näiden erityispoikkeusten lisäksi biometristen tietojen käsittelyä voidaan pitää laillisena vain, jos kaikissa asiaan liittyvissä menettelyissä rekisteröinnistä alkaen noudatetaan direktiivin 95/46/EY säännöksiä. Tämä asiakirja ei kata kaikkia kysymyksiä, jotka liittyvät direktiivin 95/46/EY biometrisiin tietoihin soveltamiseen. Asiakirjassa käsitellään vain kaikkein keskeisimpiä kysymyksiä, joten se ei merkitse direktiivin 95/46/EY soveltamisen seurausten kattavaa tarkastelua Tarkoitus- ja suhteellisuusperiaate Direktiivin 95/46/EY 6 artiklan mukaisesti henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen on oltava myös asianmukaisia, olennaisia eikä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään (tarkoitusperiaate). Tämän periaatteen mukaisesti on ensin määriteltävä selvästi tarkoitus, jota varten biometriset tiedot kerätään ja käsitellään. Lisäksi on tarpeen arvioida tietojen suhteellisuus ja laillisuus ottaen huomioon yksilöiden perusoikeuksien ja -vapauksien kunnioittamiseen kohdistuvat riskit ja erityisesti sen, voitaisiinko aiottu tarkoitus saavuttaa vähemmän yksityisyyteen puuttuvalla tavalla. Suhteellisuus on ollut tietosuojaviranomaisten tähän mennessä tekemien lähes kaikkien biometristen tietojen käsittelyä koskevien päätösten tärkeimpänä perusteena 13. Pääsyä koskevan valvonnan osalta (todentaminen/varmentaminen) tietosuojatyöryhmä on sitä mieltä, että järjestelmät, jotka perustuvat jälkiä jättämättömiin fyysisiin ominaispiirteisiin (kuten käden muoto ilman sormenjälkiä) tai jälkiä jättäviin fyysisiin ominaispiirteisiin, jotka eivät kuitenkaan edellytä jonkun muun kuin kyseisen henkilön itsensä hallussa olevien tietojen tallentamista (toisin sanoen tietoja ei ole tallennettu pääsynvalvontalaitteelle eikä keskitettyyn tietokantaan), vaarantavat vähemmän yksilöiden perusoikeuksia ja -vapauksia 14. Monet tietosuojaviranomaiset ovat vahvistaneet tämän näkemyksen ja todenneet, että biotunnisteita ei tulisi tallentaa tietokantaan, vaan vain yksinomaan käyttäjän hallussa olevaan välineeseen, kuten mikrosirukorttiin, matkapuhelimeen tai pankkikorttiin 15. Toisin sanoen todentamis- /varmentamissovelluksissa, jotka voidaan toteuttaa ilman biometristen tietojen keskitettyä säilytystä, ei tulisi soveltaa liiallisia tunnistustekniikkoja. Tästä syystä tietosuojatyöryhmä katsoo, että muuntyyppisten sovellusten (perustuen esimerkiksi digitaalisiin sormenjälkimalleihin päätelaitteessa tai keskitetyssä tietokannassa) käyttöä tulisi arvioida huolellisesti ennen niiden toteuttamista. Jos tällaisia järjestelmiä kuitenkin otetaan käyttöön esimerkiksi erityisen huolellisia Esimerkiksi Alankomaiden, Ranskan, Saksan, Italian ja Kreikan viranomaisten päätökset. Keskitetysti käsiteltävät biometriset tiedot voidaan erottaa tapauksista, joissa vertailtavat biometriset tiedot on tallennettu liikuteltavalle välineelle ja vertailuprosessi tapahtuu kortilla mutta ei sensorissa, tai tapauksista, joissa myös sensori on osa liikuteltavaa välinettä. Korttien katoamisesta, varastamisesta tai vahingoittumisesta aiheutuvien ongelmien ratkaisemiseksi käyttöön otetut mekanismit on otettava huomioon ja biometristen tietojen varastointia välttäviä mekanismeja tulisi edistää. Tiedot olisi jälleen kerättävä mahdollisimman useissa tapauksissa suoraan rekisteröidyltä henkilöltä. 6

7 turvallisuusjärjestelyjä edellyttävissä tapauksissa 16, kyseessä voidaan katsoa olevan direktiivin 95/46/EY 20 artiklassa tarkoitettu riskejä aiheuttava tietojenkäsittely, joka tietosuojaviranomaisten voi olla tarpeen tarkastaa ennalta kansallisen lainsäädännön mukaisesti (ks. 3.5 kohta). Direktiivissä 95/46/EY kielletään tietojen myöhempi käsittely niiden keruutarkoituksen kanssa yhteensopimattomalla tavalla. Jos biometrisiä tietoja käsitellään pääsyn valvomiseksi, kyseisten tietojen käyttö rekisteröidyn mielentilan arvioimiseksi tai työpaikalla valvomiseksi olisi ristiriidassa tietojen keruun alkuperäisen tarkoituksen kanssa. Tällaisen yhteensopimattoman käytön ehkäisemiseksi on toteutettava kaikki tarvittavat toimenpiteet 17. Direktiivissä 95/46/EY säädetään poikkeuksista, joita sovelletaan tietojen edelleen käsittelyä yhteensopimattomalla tavalla koskevaan kieltoon, mutta ne ovat voimassa vain erityisin ehdoin. Yleisesti hyväksytyn periaatteen mukaan yksilöiden tietämättään jättämistä fyysisistä jäljistä (esimerkiksi sormenjäljistä) saatujen biometristen tietojen yhteensopimattomiin tarkoituksiin uudelleen käyttämisen riski on suhteellisen vähäinen, jos tietoja ei säilytetä keskitetyissä tietokannoissa, vaan ne ovat asianomaisen henkilön hallussa ja sivullisten saavuttamattomissa. Biometristen tietojen keskitetty säilyttäminen lisää myös riskiä, että biometrisiä tietoja käytetään avaimena eri tietokantojen yhdistämiseen, jolloin voidaan saada aikaan yksityiskohtaisia profiileja henkilön käyttäytymisestä sekä julkisella että yksityisellä sektorilla. Kysymys yhteensopivasta tarkoituksesta tuo esiin myös kysymyksen erilaisten biotunnisteita käyttävien järjestelmien yhteentoimivuudesta. Yhteentoimivuuden edellyttämä standardointi voi lisätä tietokantojen välisiä yhteyksiä. Biotunnisteiden käyttö herättää myös kysymyksen käsiteltävien erityyppisten tietojen suhteellisuudesta ottaen huomioon tarkoitus, jota varten tietoja käsitellään. Biometrisiä tietoja saa käyttää vain, jos se on asianmukaista, olennaista eikä liian laajaa. Tämä merkitsee käsiteltävien tietojen tarpeellisuuden ja suhteellisuuden tiukkaa arviointia 18. Esimerkiksi Ranskan CNIL on kieltäytynyt käyttämästä sormenjälkiä valvoakseen lasten pääsyä koulun ruokalaan 19, mutta hyväksynyt käden ääriviivojen käytön samaan tarkoitukseen. Portugalin tietosuojaviranomaiset ovat jokin aika sitten antaneet kielteisen päätöksen, joka koskee biometrisen järjestelmän (sormenjäljet) käyttöä yliopistossa muun kuin opetushenkilöstön tunnollisuuden ja täsmällisyyden valvomiseksi 20. Saksan tietosuojaviranomainen on antanut myönteisen päätöksen biometristen ominaispiirteiden käyttämisestä henkilöllisyystodistuksissa niiden väärentämisen ehkäisemiseksi sillä Biometristen tekniikkojen nykytila on se, että luotettavia tosiaikaisia millekään realistisen kokoiselle väestömäärälle yksinomaan tunnistustarkoituksiin tarkoitettuja ratkaisuja ei vielä ole olemassa eikä niitä todennäköisesti saada käyttöön ennustettavissa olevassa tulevaisuudessa. Kuten edellä on todettu, tarkoitus on määriteltävä selvästi. Myös nimettömyyden tai salanimien käytön on oltava tietyissä tilanteissa mahdollista. Korttien katoamisesta, varastamisesta tai vahingoittumisesta aiheutuvien ongelmien ratkaisemiseksi käyttöön otetut mekanismit on otettava tässä yhteydessä huomioon ja biometristen tietojen varastointia välttäviä mekanismeja tulisi edistää. Tiedot olisi jälleen kerättävä mahdollisimman useissa tapauksissa suoraan rekisteröidyltä henkilöltä. On kuitenkin ilmeistä, että Yhdistyneen kuningaskunnan tietosuojaviranomaiset ovat hyväksyneet sormenjälkien käytön samankaltaisissa olosuhteissa edellyttäen, että tarvittavat varotoimet on otettu käyttöön. Portugalin tietosuojaviranomaiset ovat katsoneet, että kyseisten järjestelmien soveltaminen oli tietojen käsittelyn tarkoitus huomioon ottaen suhteetonta ja liiallista. Järjestelmä olisi tallentanut tiedot biometriselle välineelle ja valvottavien henkilöiden määrä oli noin

8 ehdolla, että tiedot tallennetaan kortin mikrosirulle eikä tietokantaan vertailun mahdollistamiseksi todistuksen haltijan sormenjälkien kanssa. Erityisiä vaikeuksia voi tuottaa se, että biometrisiin tietoihin sisältyy usein enemmän tietoa kuin on tarpeen henkilön tunnistamiseksi tai hänen henkilöllisyytensä todentamiseksi/varmentamiseksi. Tämä on todennäköisempää alkuperäisen kuvan (raakatietojen) suhteen, koska malli voidaan ja se tulisi aina muodostaa teknisesti niin, että tarpeettomien tietojen käsittely estyy. Tarpeettomat tiedot tulisi tuhota mahdollisimman pian 21. Jotkin biometriset tiedot voivat lisäksi paljastaa rodullisen alkuperän tai liittyä terveyteen. (Ks. jäljempänä 3.7 kohta.) On vielä todettava, että biometriset järjestelmät voidaan suunnitella niin, että niiden käyttö on omiaan parantamaan yksityisyyden suojaa muun muassa vähentämällä tarvetta käsitellä muita henkilötietoja kuten nimiä, osoitteita, asuinpaikkatietoja jne Tietojen asianmukainen kerääminen ja rekisteröidyn informointi Biometristen tietojen käsittely ja erityisesti niiden kerääminen on toteutettava asianmukaisella tavalla 22. Rekisterinpitäjän tulee informoida rekisteröityä direktiivin 95/46/EY 10 ja 11 artiklan mukaisesti 23. Informointiin kuuluu erityisesti tiedoston tarkoituksen tarkka määrittely ja rekisterinpitäjän (joka on usein biometristä järjestelmää käyttävä tai biometristä tekniikkaa soveltava henkilö) henkilöllisyyden ilmoittaminen. Järjestelmiä, joilla kerätään biometrisiä tietoja rekisteröityjen tietämättä, on vältettävä. Jotkin biometriset järjestelmät, kuten kasvojen etätunnistus, sormenjälkien kerääminen ja äänen tallentaminen sisältävät tästä näkökulmasta enemmän riskejä Tietojen käsittelyn laillisuuden määrittäminen Biometristen tietojen käsittelyn on vastattava direktiivin 95/46/EY 7 artiklassa määriteltyjä laillisuusperiaatteita. Jos rekisterinpitäjä käyttää suostumusta laillisuusperusteena, tietosuojatyöryhmä korostaa, että sen on noudatettava direktiivin 95/46/EY 2 artiklassa asetettuja ehtoja (kaikenlainen vapaaehtoinen, yksilöity ja tietoinen tahdon ilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn) Ennakkotarkastus ilmoitus Kuten edellä on todettu, työryhmä tukee sellaisten biometristen järjestelmien käyttöä, joissa jälkiä ei tallenneta pääsynvalvontapäätelaitteeseen eikä keskitettyyn tietokantaan (ks. 3.2 kohta). Tapauksissa, joissa tällaisten järjestelmien käyttöä on suunniteltu, ottaen huomioon mahdollisuus käyttää tietoja (uudelleen) eri tarkoituksiin sekä erityiset tietojen luvattomaan käyttöön liittyvät vaarat, työryhmä suosittelee, että jäsenvaltiot harkitsisivat niiden toimittamista ennalta tietosuojaviranomaisten tarkastettavaksi direktiivin Tämän tietojen tuhoamisen kannalta on myös otettava huomioon direktiivin 95/46/EY 6 artiklan 1 kohdan e alakohta, jossa säädetään, että henkilötietoja ei säilytetä pitempään, kuin niiden käsittelytarkoitus edellyttää. Direktiivin 95/46/EY 6 artiklan a kohta. Direktiivin 95/46/EY 10 ja 11 artiklassa säädettyyn rekisteröidyn informointia koskevaan velvoitteeseen sovellettavien poikkeuksien tulee perustua lakiin ja olla tarpeellisia toimenpiteitä, joilla rajoitetaan tiedonantovelvollisuutta direktiivin 95/46/EY 13 artiklassa lueteltujen etujen turvaamiseksi (yleinen turvallisuus, rikosten torjunta, tutkinta, selvittäminen, syyteharkinta jne.). 8

9 95/46/EY 20 artiklan mukaisesti, koska tällainen käsittely merkitsee todennäköisesti rekisteröityjen oikeuksille ja vapauksille erityistä vaaraa. Jos jäsenvaltio aikoo alistaa biometristen tietojen käsittelyn ennakkotarkastukseen, kansallisia tietosuojaviranomaisia on asianmukaisesti kuultava ennen kyseisten toimenpiteiden käyttöönottoa Turvatoimet Rekisterinpitäjän on direktiivin 95/46/EY 17 artiklan mukaisesti toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta, erityisesti jos käsittely muodostuu tietojen siirtämisestä verkossa. Turvatoimet on toteutettava, kun biometrisiä tietoja käsitellään (säilyttäminen, siirtäminen, ominaispiirteiden erottaminen ja vertailu jne.) ja erityisesti, jos rekisterinpitäjä siirtää tietoja Internetin välityksellä. Turvatoimiin voi kuulua esimerkiksi mallien salaaminen ja salausavainten suojaaminen saatavuuden valvonnan ja suojaamisen lisäksi niin, että alkuperäisten tietojen palauttaminen mallien perusteella on käytännössä mahdotonta. Tässä yhteydessä tulisi ottaa huomioon joitakin uusia tekniikkoja. Mielenkiintoista kehitystä merkitsee mahdollisuus käyttää biometrisiä tietoja salausavaimina. Tämä vähentäisi ennen kaikkea rekisteröityyn kohdistuvaa riskiä, koska salauksen avaaminen on mahdollista vain rekisteröidystä itsestään uudelleen saatavien biometristen tietojen avulla. Tällöin vältyttäisiin luomasta tietokantoja, jotka sisältävät biometristen tietojen malleja, joita on mahdollista käyttää uudelleen alkuperäisestä poikkeaviin tarkoituksiin. Tarpeelliset turvatoimet olisi otettava käyttöön prosessin alusta alkaen ja erityisesti "rekisteröintivaiheen" aikana, jolloin biometriset tiedot muunnetaan malleiksi tai kuviksi. On ymmärrettävä, että tietokantojen loukkaamattomuuteen, luottamuksellisuuteen ja käyttöoikeuksiin liittyvien ominaisuuksien mahdollinen menettäminen estäisi selvästi kyseiseen tietokantaan perustuvien kaikkien sovellusten myöhemmän käytön sekä aiheuttaisi rekisteröidyille peruuttamatonta vahinkoa. Jos esimerkiksi valtuutetun henkilön sormenjäljet liitettäisiin valtuuttamattoman henkilön henkilöllisyyteen, tämä saisi oikeudettomasti käyttöönsä sormenjälkien omistajalle kuuluvat palvelut. Tämä merkitsisi henkilöllisyyden varastamista, mikä tekisi rikoksen paljastumisesta riippumatta kyseisen henkilön sormenjäljistä käyttökelvottomat tulevia sovelluksia varten ja rajoittaisi tämän vapautta. Biometrisiin järjestelmiin liittyvillä virheillä voi olla vakavia seurauksia yksilölle. Valtuutettujen henkilöiden oikeudeton torjuminen ja valtuuttamattomien henkilöiden oikeudeton hyväksyminen voi erityisesti aiheuttaa vakavia ongelmia monella eri tasolla. Biometristen tietojen käytön tulisi ennen kaikkea vähentää tällaisten virheiden riskiä. Ne voivat kuitenkin myös luoda illuusion, että rekisteröidyn tunnistaminen tai todentaminen/varmentaminen tapahtuu aina oikein. Rekisteröidyn voi olla vaikea tai jopa mahdoton todistaa päinvastaista. Järjestelmä voi esimerkiksi virheellisesti tunnistaa rekisteröidyn henkilöksi, jolle ei tulisi sallia lentokoneessa matkustamista tai jolta tulisi kieltää pääsy tiettyyn maahan. Tällaisten ongelmien ratkaiseminen on vaikeaa henkilölle, jota vastaan on olemassa tällaisia "kiistattomia" todisteita. Tällaisissa tapauksissa on jälleen korostettava, että mikä tahansa yksilöä oikeudellisesti koskeva päätös tulisi tehdä vasta sen jälkeen, kun automatisoidun prosessin tulos on varmistettu direktiivin 95/46/EY 15 artiklassa tarkoitetulla tavalla. 9

10 On myös todettava, että biotunnisteiden käyttö saattaa tehostaa valvontamenetelmiä esimerkiksi sivullisia koskevien henkilötietojen saatavuustapauksissa varkauksien ja väärinkäytösten estämiseksi (valtuuttamismenettelyt) Arkaluonteiset tiedot Joitakin biometrisiä tietoja voitaisiin pitää direktiivin 95/46/EY 8 artiklassa tarkoitettuina arkaluonteisina tietoina erityisesti, jos ne koskevat rotua, etnistä alkuperää tai terveyttä. Esimerkiksi kasvojen tunnistamiseen perustuvissa biometrisissä järjestelmissä voidaan käsitellä tietoja, jotka koskevat henkilön rotua tai etnistä alkuperää. Tällaisiin tapauksiin sovelletaan direktiivin yleisten turvallisuusperiaatteiden lisäksi sen 8 artiklassa säädettyjä erityisiä varokeinoja. Tämä ei tarkoita, että kaikkeen biometristen tietojen käsittelyyn liittyisi välttämättä arkaluonteisia tietoja. Se, liittyykö tietojen käsittelyyn arkaluonteisia tietoja, perustuu arviointiin, joka riippuu käytetyistä erityisistä biometrisistä ominaispiirteistä ja itse biometrisestä sovelluksesta. Arkaluonteisuus on todennäköisempi, jos käsitellään kuvien muodossa olevia biometrisiä tietoja, koska raakatietoja ei periaatteessa ole mahdollista palauttaa mallista Yksilöllinen tunniste Biometriset tiedot ovat ainutlaatuisia ja useimmilla niistä voidaan luoda yksilöllinen malli (tai kuva). Laajasti käytettynä erityisesti, jos tiedot kattavat merkittävän osan väestöstä, biometrisiä tietoja voidaan pitää direktiivissä 95/46/EY tarkoitettuna yleisenä tunnisteena. Direktiivin 95/46/EY 8 artiklan 7 kohtaa voitaisiin silloin soveltaa ja jäsenvaltioiden olisi määriteltävä olosuhteet, joiden vallitessa tietoja voidaan käsitellä. Jos biometrisiä tietoja on tarkoitus käyttää avaimena yhteyden luomiseksi tietokantoihin, jotka sisältävät henkilötietoja 24, voi ilmetä erityisen vaikeita ongelmia, mikäli rekisteröidyllä ei ole mahdollisuutta vastustaa biometristen tietojen käsittelyä. Tämä voi olla yleistä kansalaisten ja julkisten viranomaisten välisissä suhteissa. Tästä syystä olisi toivottavaa, että malleja ja niiden digitaalisia esitystapoja käsiteltäisiin matemaattisesti manipuloituina (salaus, algoritmit tai hajautustoiminnot) käyttäen jokaiselle käsiteltävälle biometriselle tuotteelle erilaisia parametrejä sen välttämiseksi, että useista tietokannoista peräisin olevia henkilötietoja yhdistellään vertaamalla malleja tai digitaalisia esitystapoja Käytännesäännöt ja yksityisyyttä parantavan tekniikan käyttö Tietosuojatyöryhmä kannustaa alan teollisuutta tuottamaan biometrisiä järjestelmiä, jotka mahdollistavat tässä valmisteluasiakirjassa olevien suositusten täytäntöönpanon. Jos tämän alan eurooppalaisia tai kansainvälisiä standardeja on tarpeen laatia, ne tulisi valmistella yhteistyössä tietosuojaviranomaisten kanssa sellaisten biometristen järjestelmien edistämiseksi, jotka on suunniteltu tietosuojaa parantaviksi, jotka minimoivat sosiaaliset riskit ja ehkäisevät biometristen tietojen väärinkäytön. Tietosuojatyöryhmä korostaa tässä yhteydessä yksityisyyttä parantavien tekniikkojen 24 Ks. myös edellä 3.2 kohta yhteensopivasta uudelleenkäytöstä. 10

11 (Privacy Enhancing Technologies, PETS) merkitystä, jotta tietojen kerääminen voitaisiin minimoida ja niiden laiton käsittely estää. Tietosuojatyöryhmä korostaa myös sellaisten käytännesääntöjen tärkeyttä, joiden tarkoituksena on edistää tietosuojaan liittyvien periaatteiden asianmukaista noudattamista ottaen huomioon eri alojen erityispiirteet direktiivin 95/46/EY 27 artiklan mukaisesti. Tietosuojatyöryhmälle voidaan toimittaa luonnoksia yhteisön säännöiksi, jotta se voisi muun muassa päätellä, ovatko ne direktiivin 95/46/EY nojalla annettujen kansallisten määräysten mukaisia. PÄÄTELMÄT Tietosuojatyöryhmä katsoo, että useimpiin biometrisiin tietoihin sisältyy henkilötietojen käsittelyä. Biometrisiä järjestelmiä kehitettäessä on tästä syystä on välttämätöntä kunnioittaa täysin direktiivissä 95/46/EY säädettyjä tietosuojaperiaatteita ottaen huomioon biotunnisteiden erityisluonne, kuten muun muassa mahdollisuus kerätä biometrisiä tietoja rekisteröidyn tietämättä ja niiden epävarma yhteys yksittäiseen henkilöön. Direktiivissä 95/46/EY säädetyn suojan ytimenä olevan suhteellisuusperiaatteen noudattaminen edellyttää, että erityisesti todentamisen/varmennuksen yhteydessä suositaan selvästi sellaisia biometrisiä sovelluksia, joissa ei käsitellä yksittäisten henkilöiden tietämättään jättämistä fyysisistä jäljistä saatuja tietoja tai joissa tietoja ei säilytetä keskitetyssä järjestelmässä. Tämä parantaa rekisteröidyn mahdollisuuksia valvoa häntä koskevien henkilötietojen käsittelyä. Tietosuojatyöryhmä aikoo tarkistaa tätä valmisteluasiakirjaa tietosuojaviranomaisten keräämien kokemusten ja biometristen sovellusten teknisen kehityksen mukaisesti. Koska monenlaiset käyttäjät ovat jo ottamassa biometrisiä tietoja käyttöön monilla eri foorumeilla, työn jatkaminen viipymättä on välttämätöntä liittyen erityisesti työsuhteisiin, viisumeihin ja maahanmuuttoon sekä matkustuksen turvallisuuteen. Koska tietosuojavaatimusten kanssa yhteensopivien biometristen sovellusten kehittämisvastuu kuuluu edelleen itse toimialalle, erityisesti käytännesääntöluonnokseen perustuva kaikkien asiasta kiinnostuneiden osapuolten, tietosuojaviranomaiset mukaan lukien, välinen toimiva vuoropuhelu olisi kaikkien kannalta erittäin toivottavaa Tehty Brysselissä 13 päivänä kesäkuuta Tietosuojatyöryhmän puolesta Stefano RODOTÀ Puheenjohtaja 11