Har GDPR styr på droner?

Eller har dronepiloter styr på GDPR?

Persondata forbindes ofte med internettet. Det er den store bredsporede motorvej for indsamling af persondata. Alle gør det: virksomheder, organisationer, offentlige myndigheder, og selv Folkekirken har sit at tumle med i forhold til medlemmerne og deres følsomme religiøse overbevisning. Selvom ikke alle tænker over det, så er video og billeder også persondata, og det indsamler landets 1.500.000 (!) overvågningskameraer rigelige mænger af. Inden for de sidste år, er endnu en måde at indsamle persondata på kommet til: droner.

Droner er flyvende robotter. De kan udstyres med missiler og blive fjernstyret af dronepiloter på den ene side af jorden, og ramme fjender på den anden side af jorden. Ingeniører bruger droner til at undersøge broer for fejl og sprækker. Droner kan bruges til at overvåge truede dyr, landmænd kan få data om, hvor det er bedste at gøde og filmhold bruger dem til at filme scener fra luften. Brandvæsenet bruger droner til at skabe sig et overblik over bygninger, som brænder. Alene i Trekants-området er der ansat 9 dronepiloter hos brandvæsenet.

Med et almindeligt kamera monteret kan droner flyve oppe i luften hen over os og indsamle persondata i form af billeder og video. Man kan sige, at de fastmonterede overvågningskameraer har fået vinger.

GDPR gælder for dronedata
Der gælder i dag en lang række regler for, hvordan man må bruge droner. Der er krav om forsikring, registrering, max flyvehøjde, forbud mod at flyve over privat ejendom, logbog, særlige regler for professionelle droner og flyvning i bebyggelsesmæssige områder osv. Dem gennemgår jeg ikke her, men det er de regler, som er hjemlen til, at man overhovedet må bruge droner. GDPR giver ikke hjemmel til at flyve med droner, men er regler, som også skal overholdes ved droneflyvning, hvis der indsamles persondata.  

Det jeg har fokus på her, er alene GDPR og brugen af droner. GDPR gælder for droner, når de bruges til at indsamle persondata, og det er fornuftigt nok. GDPR skal selvfølgelig være ”teknologi-neutral” og finde anvendelse, uanset hvordan persondata indsamles.

Udfordringen for droneførerne er, at der er meget lidt hjælp at hente i forhold til, hvordan GDPR overholdes i praksis. I GDPR er der ingen specifikke regler om droner og indsamling af persondata i den forbindelse. Måske et eksempel på, at den teknologiske udvikling altid er foran den retlige regulering.

Det er klart, at der skal foreligge indsamling af personhenførbare oplysninger før, at GDPR finder anvendelse. I så fald skal de grundlæggende principper i art. 5 naturligvis følges: lovlighed, rimelighed, gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning integritet og fortrolig. Og alt dette skal dokumenteres.

Samtykke kan udfordre
En del af principperne vil næppe volde de store problemer. Der er tale om data, som opbevares digitalt, ligesom medlemskartoteket i badmintonklubben, og de er til at håndtere.  

Der hvor jeg ser en udfordring er art. 6 med de hjemler, som findes til at indsamle oplysninger. Jeg vil mene, at der i mange tilfælde kan blive nødvendigt med samtykke. Det kan fx være ved overvågning af en havn, hvor data skal bruges i forbindelse med en ombygning, så logistikken bliver så optimal som muligt. Det kan vise sig at blive en meget vanskelig opgave at indsamle samtykker i sådan en situation.

En anden udfordring er at opfylde oplysningspligten ved indsamling af personoplysninger hos den registrerede (art. 13). Hvordan giver man et måske ubestemt antal personer oplysninger om den indsamling, der finder sted og de rettigheder, som man har som registreret person? Oplysningspligten og de rettigheder har Datatilsynet skrevet en 59 siders vejledning om, så helt enkelt er det ikke.

Ikke et ord om GDPR
Og der er sikkert langt flere udfordringer, end dem jeg har kunne ryste ud af ærmet. 

Jeg har taget en grundig surfer-tur rundt på nettet og har ikke kunne finde nogen, som har bud på, hvordan GDPR overholdes ved brug af droner. Tankevækkende – er det et udtryk for, at GDPR generelt ikke bliver overholdt i den forbindelse?

Man kunne håbe, at der var regler på vej, som kunne gøre det operationelt, men det ser ikke sådan ud. Der er vedtaget en forordning om ”regler og procedurer for operation af ubemandede luftfartøjer”. Den finder anvendelse fra den 1. juli 2020. Den er på 71 sider uden et eneste ord om GDPR.

En ting er dog sikkert: dronepiloter skal have styr på GDPR.

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle