4 Gjeldende rett
4.1 Utlendingsloven
I norsk rett foreligger det pr. i dag ingen bestemmelse om registrering og lagring av biometrisk personinformasjon i forbindelse med visumsøknader. Regler om når en utlending må ha visum, hvem som behandler visumsøknader, hvem som utsteder visum mv. er imidlertid gitt i utlendingsloven § 25, jf. utlendingsforskriften §§ 104 - 113 a, og i § 8 flg i utlendingsloven av 15.05.2008.
Fremgangsmåten ved søknad om besøksvisum er regulert i gjeldende utlendingsforskrift § 108. Utlendingsforskriften § 109 omhandler behandling av søknader om besøksvisum. Det følger av disse bestemmelsene at søknad om visum fremmes på fastsatt skjema som skal inneholde fotografi av søkeren og søkerens underskrift. Søkeren må dokumentere sin identitet med gyldig reisedokument som kan påføres visum, og søkeren kan pålegges å dokumentere andre opplysninger som er gitt når myndighetene finner det nødvendig.
Selv om det ved søknad om visum ikke er adgang til å registrere og lagre biometri i gjeldende lov, finnes det andre bestemmelser i utlendingsregelverket som gir slik adgang. Blant annet i reglene om identifisering i utlendingsloven § 37, jf. utlendingsforskriften §§ 128 - 132, er det gitt hjemmel for å ta fotografi og fingeravtrykk. Det følger av § 37 fjerde ledd at det kan tas fotografi og fingeravtrykk av utlending som ikke kan dokumentere sin identitet eller som det er grunn til å anta oppgir falsk identitet. Likeledes kan det tas fotografi og fingeravtrykk av utlending som søker asyl eller tillatelse etter loven, eller har fått avslag på slik søknad, samt utlending som er bortvist, utvist eller antas å oppholde seg ulovlig i riket. Fotografi og fingeravtrykk blir oppbevart i den enkelte utlendingssak. Fingeravtrykkene lagres i et EDB-basert fingeravtrykksregister (utlendingsregisteret) i Kripos» alminnelige fingeravtrykksregister. Utenlandske myndigheter har ikke tilgang til dette registeret, men etter utlendingsforskriften § 131 tredje ledd kan opplysninger fra registeret utleveres med hjemmel i utvekslingsavtaler eller etter en konkret vurdering. Når sletting av fingeravtrykk skal foretas, er angitt i utlendingsforskriften § 132.
I forbindelse med identifisering er det også adgang til å ta fingeravtrykk etter utlendingsloven § 37 e, og fingeravtrykk tatt med hjemmel i denne bestemmelsen lagres i et sentralt register. Bestemmelsen har sin bakgrunn i rådsforordning (EF) nr. 2725/2000 (Eurodac-forordningen). Eurodac består av en sentral enhet som driver en sentral elektronisk database for fingeravtrykksopplysninger. Registeret har til formål å bidra til fastsettelse av hvilken stat som i henhold til Dublinregelverket er ansvarlig for behandlingen av en asylsøknad som fremmes i en medlemsstat. Det følger av § 37 e at det kan tas fingeravtrykk av asylsøker over 14 år, utlending som anholdes i forbindelse med ulovlig passering av ytre Schengengrense og utlending som oppholder seg ulovlig i riket. Fingeravtrykkene og visse ledsagende opplysninger, som dato for den dag fingeravtrykkene ble tatt, sted og dato for fremleggelse av asylsøknaden, kjønn og opprinnelsesstat, skal lagres i den sentrale databasen. Det er i medhold av § 37 e gitt nærmere regler i utlendingsforskriften om behandlingen av opplysningene, herunder om overføring av opplysninger til sentralenheten, lagring, sperring, innsyn, retting og sletting, jf. utlendingsforskriften §§ 132 a - 132 g.
4.2 Passloven
I forhold til biometri er det utover utlendingsfeltet relevant å se hen til innføringen av elektronisk lagring av biometri i pass, som er hjemlet i lov 19. juni 1997 nr. 82 om pass (passloven), og som har sin bakgrunn i hendelsene 11. september 2001. Endringene i passloven, som trådte i kraft 17. juni 2005, tar sikte på å gjennomføre rådsforordning nr. 2252/2004 om biometri i pass og reisedokumenter utstedt av medlemslandene. I henhold til passloven § 6 annet ledd kan det til bruk for senere verifisering eller kontroll av passinnehaverens identitet, innhentes og lagres i passet biometrisk personinformasjon i form av ansiktsfoto. Informasjonen lagres elektronisk i passet, og ved hjelp av tilpasset leserutstyr på grensekontrollstedet skal dataene i passet kunne sammenlignes med innehaveren for å bekrefte at vedkommende er rette innehaver. Regler om rett til innsyn i og retting av biometrisk informasjon, samt sletting av biometrisk informasjon innhentet for utstedelse av pass og til gjennomføring av grensekontroll (verifikasjon), er gitt i passloven § 6 a.
I tillegg til dagens ansiktsfoto skal det etter ovennevnte rådsforordning tas i bruk biometri i form av fingeravtrykk innen 28. juni 2009. Det pågår for tiden et arbeid i Justisdepartementet for å få på plass lovhjemmel her.
4.3 Personopplysningsloven
Retten til privatliv følger bl.a. av den europeiske menneskerettskonvensjon (EMK) artikkel 8 og står sentralt i EUs personverndirektiv. Personverndirektivet er gjennomført i norsk rett ved lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven). Loven skal beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Videre skal den bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.
Personopplysningsloven skiller i § 2 mellom «personopplysninger», som er opplysninger og vurderinger som kan knyttes til en enkeltperson, og «sensitive personopplysninger», som er opplysninger om bl.a. rase, etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning og om en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Etter lovens § 8 er det kun anledning til å behandle personopplysninger, dvs. samle inn, registrere, sammenstille, lagre, utlevere eller en kombinasjon av dette, dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller det er nødvendig bl.a. for å utøve offentlig myndighet. For behandling av sensitive personopplysninger listes det opp flere alternative tilleggsvilkår i § 9.
For behandling av personopplysninger kreves det melding til Datatilsynet, jf. personopplysningsloven § 31, mens det for behandling av sensitive personopplysninger kreves konsesjon fra Datatilsynet, jf. § 33.