Droner, robotter og persondata
Nye, strenge krav til beskyttelse af persondata træder i kraft fra maj 2018. Virksomheder bør allerede nu inkorporere de nye regler i deres produkter og processer for at kunne bruge de data, de indsamler nu – også efter maj 2018. Det gælder ikke mindst drone- og robotvirksomheder.
Mange drone- og robotvirksomheder indsamler masser af data, og en del af disse vil i juridisk forstand blive anset som persondata. Derfor er det relevant for drone- og robotvirksomheder at kende til de nye regler.
De nye regler indeholder:
- Skærpet krav til dokumentation for samtykke – samtykket skal være frit, informeret og specifikt. Der er forbud mod datapooling og videre anvendelse end det, som samtykket er givet til.
- Privacy by design og privacy by default – produkter, herunder droner og roboter, programmeres med respekt for persondata. For eksempel, optager man video skal der sløres ansigter af evt. personer der filmes.
- Styrkelse af den registreredes rettigheder – herunder 1) retten til at få oplysninger slettet, og 2) retten til at få at vide, hvilke data der er registreret. Har din virksomhed sørget for, at disse rettigheder kan håndteres nemt?
- Krav om, at der i visse tilfælde skal foretages såkaldte "Privacy Impact Assessments". Ligesom droneførere, der søger tilladelser til flyvninger med forhøjet risiko, skal foretage en risikovurdering, kan der være krav om privatlivetsfredsvurdering, og om påvirkning heraf kan mindskes. For eksempel, hvis en drone skal inspicere et tag, bør filmning ikke starte, før dronen er ved taget og ikke på flyvningen hen til taget.
- Der forventes bøder på op til 4 % af omsætningen
Vores råd er derfor, at drone- og robotvirksomheder bør tage højde for de nye persondatabeskyttelsesregler allerede i dag for at sikre, at deres produkter kan afsættes i fremtiden samt at data indsamlet nu kan anvendes i fremtiden. Læs her, hvad du særligt skal være opmærksom på, når du arbejder med henholdsvis droner og robotter.
Droner og persondata
Persondata omfatter både direkte personhenførbar data og såkaldt pseudopersondata – eksempelvis IP adresser. Droner med kameraer kan kobles med ansigtsgenkendelsessoftware og indsamler direkte persondata, mens droner med radiofrekvensmodtagere kan opsamle IP adresser og andet pseudopersonlige data.
Den dataansvarlige – vedkommende, der ejer data – og databehandleren kan være en og samme person. For eksempel en landmand, der bruger sin drone til at flyve hen over en mark for at måle et eller andet. Men ofte vil den dataansvarlige og databehandleren være to forskellige virksomheder. Eksempelvis en bygherre (dataansvarlig), der hyrer en dronefører til at inspicere byggepladsen (databehandler).
I sådanne tilfælde er det meget vigtigt, at den dataansvarlige bygherre i aftalen med droneføreren har forpligtet droneføreren til også at overholde persondatalovgivningen – ellers kan den dataansvarlige bygherre risikere at få en bøde.
Robotter og persondata
Grundlæggende er robotter med sensorer omfattet af de samme regler som nævnt ovenfor.
Når robotter opererer inden for medicin og pleje, gælder særlige regler, hvor helbredsoplysninger betegnes som særlig følsomme persondata. Disse oplysninger beskyttes efter endnu strengere regler end almindelig persondata. Eksempler på robotter, der anvender helbredsdata, er robotkirugi og plejerobotter. Interaktive plejerobotter vil enten have følsom persondata lagret lokalt i robotten, eller de får data tilført via internettet.
For eksempel vil en læge kunne fjernovervåge en patient, der er hjemme, med en plejerobot. Der vil ske en overførsel af følsom data frem og tilbage mellem patienten og lægen. Det må derfor kun ske gennem en særlig sikker forbindelse.
Vil du vide mere?
NJORD Law Firm hjælper gerne med et compliance check af din virksomheds praksis for behandling, opbevaring og deling af data .
Kontakt Peter Gustav Olson på pgo@njordlaw.com eller tlf. 77 40 11 80 / 40 20 88 76 for en vurdering af din virksomheds databehandling.