GDPR for dronepiloter
20. juli trer den nye personopplysningsloven i kraft i Norge. Med dette gjennomføres EUs personvernforordning (GDPR) i Norge. Vi tok en prat med Datatilsynets personvernekspert, Stian Kringlebotn om GDPR om stilte blant annet spørsmålet hvorfor dette angår dronepiloter.Kort bakgrunn, hva er GDPR og hvorfor er dette viktige for Norske dronepiloter?
- – EUs personvernforordning, gjerne kalt GDPR (The General Data Protection Regulation), blir snart norsk lov. I tillegg får vi en ny personopplysningslov med særnorske bestemmelser. Det betyr at vi får nye regler for personvern i Norge. GDPR gir virksomheter nye plikter og enkeltpersoner nye rettigheter.Virksomheter som bruker droner må følge regelverket, gitt at dronene samler inn personopplysninger gjennom bilder, og eller andre sensordata.
Hvilken endringer medfører GDPR for Norske dronepiloter?
- – Det er viktig å merke seg at nytt regelverk styrker krav og forventning til å opptre med ansvarlighet ved innsamling og bruk av personopplysninger. Virksomhetene får både nye og endrede plikter, eksempelvis en mer omfattende plikt til å informere Datatilsynet om avvik og å gjennomføre en vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) for enkelte typer bruk av personopplysninger.
Innebygd personvern blir nå en plikt, og det må virksomheter ta hensyn til når rutiner og systemer skal utarbeides. I tillegg må virksomhetene merke seg nye rettigheter for de det samles inn personopplysninger om. Virksomhetene må kunne håndtere rettigheter. Det krever forberedelser i form av rutiner, og i noe tilfeller også tekniske løsninger.
Verken nytt eller gammelt regelverk har egne bestemmelser for droner. Innsamling og bruk av personopplysninger ved hjelp av droner må følge de samme generelle reglene som for annen bruk av personopplysninger. Virksomhetene må altså sette seg inn i bestemmelsene og se hva disse betyr for deres behandling av personopplysninger. Dette er en utfordring dronenæringen deler med andre næringer.
Vi skal være forsiktige med å overdrive forskjellene mellom gammelt og nytt regelverk, i hvert fall hvis vi ser på de store linjene.
Har du en kort veileder / anbefaling (gjerne punktvis) for dronepiloter?
– Hvis jeg skal velge et knippe råd til virksomheter som bruker droner, må det blir disse:
•Sett deg inn i personvernprisnippene. Har du forstått prinsippene, er det mye enklere å forstå de ulike bestemmelsene, og det er lettere å ta gode beslutninger. Prinsippene må følges, og GDPR sier sågar at virksomheten skal kunne påvise at prinsipper for behandling av personopplysninger overholdes.
• Skaff oversikt over hvilke personopplysninger virksomheten behandler. Oversikt er en forutsetning for at arbeidet med å ivareta personvernet skal fungere. Etter GDPR skal virksomheten føre en såkalt protokoll over behandlingsaktiviteter. Denne skal inneholde en rekke informasjon om den enkelte behandling som virksomheten foretar, for eksempel formålet med behandlingen, kategorier av personopplysninger, sikkerhetstiltak og slettefrister eller prinsipper for nå personopplysninger slettes.
• Gå igjennom virksomhetens rutiner for å informere om innsamling og bruk av personopplysninger. Ta stilling til om disse er gode nok til å oppfylle kravene i regelverket.
• Sørg for at virksomheten har rutiner for sletting av personopplysninger.
• Sørg for at virksomheten har oversikt over hvilke rettigheter folk har. GDPR fører med seg nye rettigheter, og virksomheten må kunne håndtere disse.
• Bruk Datatilsynets nettsider for å få oversikt og veiledning om det nye regelverket.
Hva skjer om man ikke følger loven?
- – Gjennom GDPR får Datatilsynet et bredt spekter av virkemidler, fra informasjonsarbeid og veiledning til å forby en bruk av personopplysninger og overtredelsesgebyr. De svært høye maksimumssatsene for overtredelsesgebyrer har vakt stor oppmerksomhet, og har nok også vært en viktig grunn til at de nye reglene har fått stor oppmerksomhet. Frykt for økonomiske sanksjoner bør ikke være en hovedgrunn til å følge reglene, men virksomheter i dronenæringen som i andre bransjer, bør merke seg at toleransen for å ikke bry seg er liten. Det såkalte ansvarlighetsprinsippet står sentralt i det nye regelverket.
Jeg vil gjerne legg til en ting: Etter mitt syn, bør dronenæringen særlig merke seg de positive mulighetene som ligger i å lage atferdsnormer, såkalte bransjenormer. Datatilsynet skal ta stilling til om innholdet i normen er god nok. Her ligger det et potensial i å få avklart hvordan ting skal gjøres i praksis. Klare føringer i bransjenormer er særlig nyttige for små bedrifter, som ofte ikke har så gode ressurser for regelverksfortolkning i egen organisasjon.