En personopplysning er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Dette er en vid definisjon som resulterer i at for eksempel droner som tar bilder som identifiserer en person vil rammes av personvernlovgivningen. Det samme gjelder også dersom dronen samler inn andre opplysninger som kan knyttes til en enkeltperson (lokasjon, bosted, registreringsnummer på en bil og så videre).
Personopplysningsloven har noen grunnkrav som må være oppfylt for at det skal være lov til å behandle personopplysninger:
- Virksomheten må ha et behandlingsgrunnlag.
- Personopplysninger skal bare brukes til bestemte formål.
- Du kan ikke samle inn flere opplysninger enn nødvendig.
- Opplysningene skal være korrekte og oppdaterte, og ikke lagres lenger enn nødvendig.
Les mer om virksomhetenes plikter når de behandler personopplysninger
Hva betyr disse pliktene for virksomheter som vil ta i bruk droner?
Som utgangspunkt kan du tenke deg følgende scenario:
Et eiendomsmeglerfirma benytter seg av en drone for å lage en video som skal vise frem et hus. Dronen flyr et godt stykke over huset og filmer bygningen, eiendommen for øvrig og nabolaget rundt. På den ene siden av huset kan man se bilen til naboen og alle lekene som ligger i hagen, mens på den andre siden ser man tydelig en annen nabo gå ut av huset sitt og inn i bilen. Videoen lagres hos eiendomsmeglerfirmaet og samles inn gjennom applikasjonen DJI GO som brukes til å styre systemet.
I dette scenarioet er fokuset til dronen rettet mot huset som skal selges og ikke omgivelsene rundt. Likevel, fordi dette skjer i et tettbebygd område, vil videoen inkludere bilder av naboene og deres eiendommer. I et slikt tilfelle vil man derfor behandle personopplysninger og man vil ha en plikt til å behandle disse opplysningene i tråd med personopplysningsloven.
Her følger en gjennomgang av noen av pliktene en virksomhet som flyr drone må forholde seg til:
Behandlingsgrunnlag
Mulige behandlingsgrunnlag kan være:
- den det har blitt samlet inn opplysninger om samtykker til det,
- det er nødvendig for å oppfylle en avtale med den registrerte,
- den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,
- det er nødvendig for å vareta den registrertes vitale interesser,
- det er nødvendig for å utføre en oppgave av allmenn interesse,
- det er nødvendig for å utøve offentlig myndighet, eller
- det er nødvendig for å vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.
Hvilket behandlingsgrunnlag som legitimerer innsamlingen av personopplysninger i forbindelse med bruk av droner, må vurderes helt konkret i hvert enkelt tilfelle. I vårt tenkte eksempel over, vil det være mest aktuelt å be naboene om samtykke til at det filmes. Da kan de selv ta stilling til om de ønsker dette. Dette utelukker imidlertid ikke at et av de andre behandlingsgrunnlagene kan legitimere dronebruken.
Personopplysninger kan bare brukes til bestemte formål
Det er bare lov til å behandle personopplysninger som er samlet inn til utrykkelig angitte formål, og disse formålene må være saklig begrunnet i virksomheten. Det er ikke lov til å benytte opplysningene til andre formål.
Virksomheten må altså definere på forhånd hva som er formålet med innsamlingen av personopplysninger. I eksempelet over er formålet å lage en film i forbindelse med salg av bolig. Det betyr at opplysningene bare kan benyttes i forbindelse med selve salget og ikke til andre formål.
Du kan ikke samle inn flere opplysninger enn nødvendig
Det er et personvernprinsipp at det skal samles inn færrest mulig opplysninger for å oppnå formålet - det kalles dataminimering. For dronebrukere innebærer det at de må sette i verk tiltak som gjør at det samles inn færrest mulig opplysninger. Dette kan blant annet gjøres ved å:
- Fly på tidspunkt hvor det er få mennesker tilstede
- Bruke kun de nødvendige sensorene (for eksempel unngå video hvis det ikke er nødvendig)
- Bruke anonymiseringsteknikker (sladding av ansikter og registreringsskilter)
- Slette unødvendig opplysninger
Privacy by design
Privacy by design, eller innebygd personvern, betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette krever at utviklere stiller spørsmål i forkant vedrørende hvilke opplysninger som blir samlet inn, hvordan de blir brukt, hvem de blir delt med, hvor mye opplysninger som blir lagret og hvordan de blir sikret.
Ved å sørge for innebygd personvern i droner minimeres innsamlingen og lagringen av personopplysninger, og personvernkonsekvensene reduseres. I tillegg vil det være mye lettere for virksomhetene som skal ta i bruk disse systemene at personvernkonsekvensene er tenkt ut på forhånd, fremfor at man må justere på dette i etterkant.
Les mer om innebygd personvern i droner i Future of Privacy Forum sin veileder (engelsk, pdf)
Personopplysninger skal ikke lagres lenger enn nødvendig
Det er ikke lov å lagre personopplysninger lenger enn det som er nødvendig for å oppnå formålet. Hvis formålet er å selge huset som filmes, må opplysningene som utgangspunkt slettes når huset er solgt. Da er formålet oppnådd og det vil ikke lenger være nødvendig å lagre opplysningene.
Informasjon og innsyn
Vi ser at et stort problem for virksomheter som tar i bruk droner er å få gitt tilstrekkelig informasjon til de som eventuelt blir filmet. Dersom bruken av droner medfører at du samler inn personopplysninger, har du en plikt til å informere de det gjelder om dette. Dette betyr at det skal informeres om hvem som flyr dronen og hvorfor (til hvilket formål) det gjøres.
Det er helt grunnleggende for både dronenæringen og personvernet til hver enkelt at denne informasjonen blir gitt. Ikke bare er det en plikt, det handler også om å skape tillit til dronenæringen.
Det finnes flere måter å nå ut med informasjon til folk som blir berørt av dronebruken:
- Bruk av flyers eller annet informasjonsmateriale
- Informasjon på virksomhetens hjemmeside
- Beskjed gjennom media
- Bruk av sosiale medier
- Informasjon på virksomhetens droner
En annen grunnleggende rettighet som er nært knyttet til informasjonsplikten, er innsynsretten. De som blir filmet har rett til innsyn i de personopplysningene som lagres om dem. Det betyr at virksomheter som bruker droner må utarbeide rutiner for hvordan de skal oppfylle denne retten.
Les mer om retten innsyn
Les mer om virksomhetenes plikt til å gi informasjon
Informasjonssikkerhet
Alle virksomheter som samler inn personopplysninger via droner må sørge for tilfredsstillende informasjonssikkerhet. Det betyr at det skal iverksettes planlagte og systematiske tiltak for å sikre opplysningenes konfidensialitet, integritet og tilgjengelighet.
Les mer om informasjonssikkerhet
Særlig om systemleverandører
Omtrent 80 prosent av de som bruker droner benytter seg av applikasjonen «DJI GO». Den gir en rekke muligheter for styring av dronen og for lagring av informasjon som samles inn.
Lagring av personopplysninger i denne eller tilsvarende apper vil kunne innebære en utlevering av opplysninger til en tredjepart. Dette betyr at virksomheter som tar i bruk slike apper/systemleverandører må finne ut av to ting:
- Vil leverandøren være å anse som en databehandler?
- Innebærer bruken av appen en overføring av personopplysninger til utlandet?
Dersom leverandøren behandler personopplysninger på vegne av virksomheten, vil den være å anse som en databehandler. Det må i så fall inngås en databehandleravtale.
Les mer om databehandleravtaler
Dersom bruken av applikasjonen betyr at det overføres personopplysninger til utlandet, er det viktig å sjekke at det aktuelle landet sikrer en forsvarlig behandling av opplysningene. Det er derfor viktig at virksomheten undersøker hva som er aktuelt i deres tilfelle.
Les mer om overføring av personopplysninger til utlandet