Nyt udspil om droner og persondatabeskyttelse

23 juli 2015

EU’s ekspertgruppe for persondata, den såkaldte artikel 29-gruppe, har i et nyt udspil fremsat holdninger og bud på, hvordan man kan sikre persondatabeskyttelsen i forbindelse med den stigende brug af droner. Især samspillet mellem producenterne af droner og nationale og internationale myndigheder fremhæves som værende afgørende for en fornuftig udvikling på området.

Idet brugen af droner er et forholdsvis nyt fænomen, påpeger artikel 29-gruppen, at det er meget sparsomt med tidssvarende regulering i de enkelte EU medlemsstater, og området kræver derfor udvikling af nationale politikker og fælles europæiske standarder. På den baggrund opfordrer artikel 29-gruppen til harmonisering og modernisering af medlemsstaternes luftfartspolitik.

Bird & Bird har tidligere skrevet om de gældende danske regler på området. Det kan der læses mere om her. Samtidig har man i Danmark startet arbejdet med et nyt sæt af rammer for reguleringen af de mindre droner, det vil sige droner på op til 25 kg. Dette arbejde sker ud fra nøgleordene sikkerhed, tryghed og privatliv, og bl.a. arbejdes på at indføre elektronisk ID, dronebevis og dronetegn og et droneregister – hvilket minder om systemet for bilag, hvor der er nummerplader, kørekort og et fælles motorregister.

Artikel 29-gruppen fremhæver, at i forhold til databeskyttelsen er det ikke dronerne som sådan, der udgør en risiko, men det er derimod de muligheder, som brugen af droner i kombination med fx videoudstyr, sporingsudstyr etc. åbner op for, som udgør en trussel.

Når en drone anvendes til at indsamle persondata, hvilket alene må ske til saglige formål, vil den dataansvarlige bl.a. skulle sikre, at der er fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven.

Således påpeger artikel 29-gruppen bl.a., at der skal implementeres sikkerhed i forbindelse med transmission af data fra dronen til en basestation, at indsamlede data ikke må oplagres i længere tid end nødvendigt og at personkredsen med adgang til det indsamlede data skal være begrænset, ligesom der skal være tilsyn med adgang til og brug af de indsamlede data. På den baggrund fremsætter artikel 29-gruppen en række anbefalinger, bl.a. at:

  • Der udarbejdes en såkaldt Data Protection Impact Assessment (DPIA) inden, der indsamles persondata ved hjælp af droner. DPIA er et værktøj, som kan hjælpe med at vurdere hvilken risiko for persondatabeskyttelsen en bestemt indsamling og behandling af persondata medfører og dermed hvilket niveau af sikkerhed, der skal anvendes.
  • Producenter og operatører af droner fra start indtænker databeskyttelse i deres designvalg og at højt niveau af persondatabeskyttelse skal være udgangspunktet og standardindstillingen. Dette benævnes også Privacy by design og Privacy by default.

I det hele taget lægger artikel 29-gruppens udspil omkring droner og persondatabeskyttelse sig i vidt omfang op ad de principper, som forventes at blive del af den kommende persondataforordning. I det omfang persondataforordningen bliver vedtaget med det forventede indhold, vil der, fra forordningen træder i kraft, ikke blot være tale om anbefalinger men i vidt omfang forpligtelser.

Hele udspillet om droner fra artikel 29-gruppen, kan læses her (på engelsk).