Formålsbegrensning og dataminimering
Et av målene i sandkassen var at Datatilsynet skulle vurdere betydningen av Doorkeepers løsning i forbindelse med prinsippene om formålsbegrensning og dataminimering.
Formålsbegrensning
Før en virksomhet kan behandle personopplysninger, er det nødvendig å klart formulere formålet med behandlingen. Nært tilknyttet dette er prinsippet om formålsbegrensning. Formålsbegrensning betyr at personopplysninger kun skal behandles for spesifikke, uttrykkelig angitte og berettigede formål. Personopplysninger skal ikke viderebehandles på en måte som er uforenelig med disse formålene.
Når behandlingen av personopplysninger starter, skal formålene allerede være fastsatt. Dette innebærer at man ikke kan behandle personopplysninger bare fordi at de kan vise seg å komme til nytte i fremtiden. Formålene skal også være definert og forklart på en tilstrekkelig spesifikk måte. Dette betyr at de «registrerte» – altså de personene som virksomheten behandler opplysninger om – har en klar og entydig forståelse av hva personopplysningene skal brukes til. At formålet skal være berettiget betyr at det – i tillegg til å ha et rettslig grunnlag – også skal være i samsvar med øvrige etiske og rettslige normer.
De som er registrert har krav på forståelig informasjon om formålet med behandlingen av deres opplysninger (i henhold til forordningen artikkel 12, 13, 14, og 15). Det er derfor viktig at formålene er formulert på en konkret og åpen måte og dokumentert skriftlig.
Dersom en virksomhet vil benytte seg av kameraovervåkning, vil det ikke være tilstrekkelig å vise til en vag og upresis begrunnelse, som for eksempel «sikkerhet». Formålet må defineres mer konkret og være knyttet opp mot et reelt behov, for eksempel at det er en nærliggende fare for tyveri eller hærverk. Overvåking for konkrete sikkerhetsformål kan heller ikke brukes for andre uforenelige formål, som for eksempel overvåkning av ansatte.
Dataminimering
Dataminimering er et viktig prinsipp som virksomheter må overholde for å møte kravene i personvernregelverket. Personvernregelverket – herunder prinsippet om dataminimering (lovdata.no) – stiller krav om at opplysningene som brukes skal være adekvate, relevante og begrenset til det som er nødvendig for å oppnå formålet de behandles for. Det betyr at det ikke skal behandles flere personopplysninger enn det som er nødvendig for å oppnå formålet.
Moderne kameraovervåkingsteknologi – inkludert Doorkeepers løsning – har potensielt muligheten til å gjøre behandlingen av personopplysninger mindre inngripende og at man kan i større grad unngå å samle inn opplysninger som ikke er relevant for formålet.
Dataminimering i praksis: intelligent videoanalyse av trafikknettet
Doorkeeper har stor kontroll over hvilke personopplysninger som registreres i løsningen. I tråd med dette har Doorkeeper og Datatilsynet drøftet to hypotetiske brukseksempler som illustrerer hvordan det kan legges til rette for dataminimering. Begge eksemplene omhandler registrering av kjøretøy i trafikknettet.
Sandkasseprosjektet har ikke gjort ytterligere juridiske vurderinger av eksemplene – som for eksempel om det finnes mer egnede tiltak enn bruk av overvåkingskamera.
Eksempel 1:
Formålet med overvåkningen er å registrere antall og type kjøretøy i trafikknettet ved bruk av intelligent videoanalyse. Hensikten er å registrere hvor mange kjøretøy med forskjellige klassifiseringer (personbiler, personbil med henger, buss, motorsykkel) som reiser på norske veier.
Doorkeeper vurderte at det er en teoretisk mulighet å registrere antall og type kjøretøy uten å gjøre opptak eller sende en videostrøm ut av kamerahuset. Systemet kan for eksempel kjøre en kode i kamerahuset som konverterer de lokale opptakene av kjøretøy til numre som oppsummerer antallet og type kjøretøy. Selv om videostrømmen behandles i kamerahuset – som tilsier at det behandles personopplysninger – vil behandlingen potensielt være betydelig mindre inngripende for trafikantenes personvern enn ved utforminger som baserer seg på løpende videoopptak eller andre metoder som involverer lagring av personopplysninger.
Hvis det er teknisk mulig å oppnå det overnevnte formålet med en form for analyse hvor ingen personopplysninger behandles, tilsier dataminimeringsprinsippet videre at dette alternativet velges.
Eksempel 2:
Formålet med overvåkningen er å identifisere ild og røykutvikling i veinettet, for å varsle ved veiulykker. I dette tilfellet kan det være hensiktsmessig å ha et kamera som kan sende opptak hvis en hendelse blir detektert. Opptak i veien vil imidlertid føre til at Doorkeeper (eller kunden) behandler identifiserende informasjon, som for eksempel ansikter av sjåfører eller passasjerer og registreringsnummer på kjøretøy. I tillegg kan også annen tekst på biler være personopplysninger, ettersom for eksempel firmanavn ofte kan kobles mot en konkret fysisk person.
I dette tilfellet vil det være hensiktsmessig for den behandlingsansvarlige å begrense hva som samles inn av identifiserende informasjon i videostrømmen. Derfor vil sladding av både ansikter, biler (inkludert tekst som kan vise firmanavn og lignende) være hensiktsmessig for å ivareta dataminimeringsprinsippet.
Behandlingens nødvendighet og vurdering av alternative tiltak
Hvis den behandlingsansvarlige eksempelvis ønsker å forhindre kriminalitet mot egen eiendom, kan vedkommende i stedet for å installere et kameraovervåkingssystem vurdere å benytte alternative sikkerhetstiltak, for eksempel å gjerde inn eiendommen, sette inn regelmessig vakthold, bruke vakter, sørge for bedre belysning, installere sikkerhetslåser, innbruddssikre vinduer og dører eller påføre antigrafittibelegg eller -folie på vegger. Den behandlingsansvarlige må i hvert enkelt tilfelle vurdere om slike tiltak kan gi en mindre inngripende løsning for personvernet for enkeltindivider.
Før den behandlingsansvarlige tar i bruk et kameraovervåkingssystem, er vedkommende forpliktet til å vurdere hvor og når kameraovervåking er nødvendig.
Hvem har ansvar for at prinsippene etterleves?
Etter personvernforordningen er det den behandlingsansvarlige som er ansvarlig for overholdelsen av kravene til behandling av personopplysninger – inkludert prinsippene om formålsbegrensning og dataminimering.
Den behandlingsansvarlige er den som bestemmer formålet med en behandling og hvilke midler – som tekniske løsninger – som skal brukes for å oppnå formålet. Hvem som er behandlingsansvarlig skal avgjøres på grunnlag av de faktiske forholdene. Det er med andre ord den som tar de faktiske beslutningene om hvorvidt en behandling skal gjennomføres, formålene med behandlingen og hvordan behandlingen skal gjennomføres, som regnes som den behandlingsansvarlige.
Den behandlingsansvarlige vil – som hovedregel – være kunden som kjøper et frittstående kamera, eller sikkerhets-/overvåkningssystemer der kameraovervåkning inngår. I tilfeller der leverandøren behandler personopplysninger på vegne av kunden, vil denne være databehandler.
Avhengig av hvilke tjenester en leverandør av kamera tilbyr, kan det tenkes at leverandøren har behandlingsansvar for deler av behandlingen ved bruk av kameraovervåkning. Det kan for eksempel hende at leverandøren behandler enkelte personopplysninger for å justere algoritmen etter en hendelse hos en kunde, slik at de kan sørge for at algoritmen fungerer etter hensikt hos andre kunder. Dersom to eller flere behandlingsansvarlige, i fellesskap, fastsetter formålene og midlene for en behandling av personopplysninger, vil de være felles behandlingsansvarlige (artikkel 26). Dette sandkasseprosjektet har ikke tatt stilling til hvorvidt Doorkeeper er behandlingsansvarlig, felles behandlingsansvarlig eller databehandler etter personvernforordningen.
En leverandør av overvåkingssystemer, som etter en konkret vurdering ikke er å anse som behandlingsansvarlig, vil i utgangspunktet ikke ha et direkte ansvar for å overholde dataminimeringsprinsippet. Det er imidlertid viktig at systemet som leveres legger til rette for at den behandlingsansvarlige i praksis kan overholde regelverket. I motsatt fall vil ikke leverandørens kunder lovlig kunne benytte systemet til behandling av personopplysninger. Det er derfor viktig at Doorkeeper har et bevisst forhold til dataminimering ved utvikling av løsningen, uavhengig av om de er å anse som behandlingsansvarlig eller ikke.
Det samme vil gjelde for regelen om innebygd personvern i personvernforordningen artikkel 25. Bestemmelsen sier at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre effektiv gjennomføring av personvernprinsippene og ivaretagelse av de registrertes rettigheter og friheter i løsningen. Videre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. På lik linje med kravet til dataminimering skaper bestemmelsen om innebygd personvern en direkte forpliktelse for den behandlingsansvarlige, som også er relevant for Doorkeeper å ta hensyn til.
Fordi behandlingsansvarlige uansett må sørge for innebygd personvern i løsningene de benytter, synes det lettere å velge en løsning som allerede har dette bygd inn fra start, sammenlignet med å bygge personvern inn i en løsning som ikke har det. Tilpassing av ferdig utviklede løsninger i etterkant kan være kostbart. Løsninger med innebygd personvern kan derfor i mange tilfeller ha et konkurransefortrinn i forhold til løsninger som ikke har det.