Alt du må vite om GDPR

– Det er viktig for droneoperatører å lære om GDPR fordi reglene er norsk lov, sier UAS Norways GDPR-ekspert, Elisabeth Krauss-Svensrud.

Jurist Elisabeth Krauss- Svensrud.

– Det kan føre til bøter eller pålegg å ikke følge reglene. I tillegg driver droneoperatører virksomhet som ofte møter utfordringer tilknyttet personvern. For å løse disse utfordringene mest mulig effektivt er det nødvendig å ha kjennskap til GDPR. Sannsynligvis kan GDPR også bli et konkurransefortrinn for droneoperatører som har god kontroll på reglene, forklarer hun.

Krauss-Svensrud er advokatfullmektig hos Advokatfirmaet Østgård, med personvern som fagområde. Hun har tidligere jobbet to år i Datatilsynet, og er en av bidragsyterne til fagboka «Droner i sivilsamfunnet».  Den siste uka har juristen vært tilgjengelig for GDPR-relaterte spørsmål fra UAS Norways medlemmer.

Her oppsummer hun det viktigste om det nye regelverket:

Hva er GDPR?

GDPR er en forkortelse for den europeiske personvernforordningen General Data Protection Regulation, som er navnet på den nå gjeldende personvernlovgivningen i alle EU- og EØS-landene. Dette er et teknologinøytralt regelsett som, med noen snevre unntak, gjelder all behandling av personopplysninger i både offentlig og privat sektor. GDPR får stor oppmerksomhet fordi reglene har et bredt nedslagsfelt. På enkelte områder er reglene strengere enn tidligere, og ikke-etterlevelse av reglene kan medføre gigantiske bøter.

Hva betyr «behandling av personopplysninger»?

All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring, analyseutlevering, eller en kombinasjon av slike bruksmåter utgjør behandling av personopplysninger.

En personopplysning er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer, lokasjonsdata og adferdsmønster. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes. Biometriske kjennetegn og dynamiske IP-adresser er også personopplysninger.

Hvordan finner jeg ut om GDPR gjelder for den virksomheten jeg driver?

Du må starte med å kartlegge hvilke behandlinger av personopplysninger som finner sted i virksomheten.  Samles det inn personopplysninger i forbindelse med droneoperasjoner? Har virksomheten egen nettside hvor det registreres informasjon om besøkende? Har virksomheten et kunderegister med opplysninger om enkeltpersoner? Har virksomheten egne ansatte som virksomheten behandler informasjon om? Dersom kartleggingen viser at virksomheten behandler personopplysninger, vil reglene i GDPR gjelde og legge føringer for hvordan denne informasjonen skal håndteres.

Hvilke plikter må virksomheten etterleve for å drive i samsvar med GDPR?

Virksomheter har en rekke plikter som må følges for å etterleve GDPR. Datatilsynet har utarbeidet en oversikt over pliktene her: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/

Det er spesielt viktig at alle virksomheter fastsetter formål med behandling av personopplysninger, sørger for at behandlingen har et lovlig behandlingsgrunnlag, at virksomheten er åpen og gir informasjon om behandlingen som finner sted, samt sørger for å slette personopplysninger som det ikke lenger er noen grunn til å oppbevare. I tillegg skal virksomheten være i stand til å dokumentere etterlevelse av GDPR. Dette innebærer blant annet å etablere protokoll over behandlingsaktiviteter og   internkontroll. Disse begrepene får du nærmere beskrevet hvis du følger linken til Datatilsynets nettside over.

Må virksomheten innhente samtykke fra personer som den samler informasjon om via drone?

Nei, ikke nødvendigvis. Enhver behandling av personopplysninger må ha behandlingsgrunnlag for å være lovlig. Et gyldig samtykke er et mulig behandlingsgrunnlag, men det finnes også andre alternativer. For eksempel er det lov å behandle personopplysninger hvis det er nødvendig for å oppfylle en avtale med den registrerte personen eller det er nødvendig for å oppfylle en rettslig plikt.

Det krever en vurdering i det konkrete tilfellet hva som utgjør det mest praktiske og samtidig lovlige behandlingsgrunnlaget for behandlingen av personopplysningene.

Hvordan skal virksomheten overholde plikten til informasjon og åpenhet som gjelder etter GDPR?

For å overholde informasjonsplikten må virksomheten først og fremst kjenne til sentrale sider ved behandlingen, som formål, behandlingsgrunnlag, lagringstid og hvilke aktører som eventuelt får tilgang til personopplysningene.

Deretter må virksomheten utarbeide innholdet i informasjonen som skal gis. Datatilsynet har skrevet en utfyllende veileder om hva virksomheten må gi informasjon om. Link til denne finnes her: https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/informasjon-og-apenhet/

Virksomheten må videre tilgjengeliggjøre informasjonen for de berørte. For droneoperatører kan nettopp det å nå fram med informasjonen by på utfordringer fordi droneoperatøren ikke nødvendigvis kjenner identiteten til de berørte. En anbefalt tilnærming til dette kan være å gi informasjon om behandling(ene) av personopplysninger i flere kanaler. For eksempel via:

• Personvernerklæring på virksomhetens nettside
• Skilt og plakater der dronevirksomheten finner sted
• E-post/brev direkte til de berørte dersom disse er kjent for virksomheten
• Flyere/annonser i lokale medier
• Notifikasjoner i aktuelle apper

Hvor lenge er det lovlig å oppbevare personopplysninger etter GDPR-regelverket?

Det vil variere etter hva som var det opprinnelige formålet med innsamlingen og behandlingen av informasjonen. Hovedreglene er at alle personopplysninger skal slettes når formålet er oppfylt. For eksempel skal personopplysninger som er brukt til å oppfylle en avtale slettes når avtalen er gjennomført/sagt opp.

Det er viktig at virksomheten har en plan/rutine for når alle personopplysninger i virksomheten skal slettes. For å utarbeide dette må virksomheten ha oversikt over hva virksomheten lagrer, deretter vurdere og konkretisere tidsfrister for når informasjonen ikke lenger er relevant å oppbevare.

Sletterutinen skal være en del av internkontrollen til virksomheten.

Hva er en databehandler, og når må virksomheten inngå databehandleravtale?

Når en virksomhet som er behandlingsansvarlig, setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, er den eller de som behandler opplysningene på vegne av den behandlingsansvarlige definert som databehandlere. For eksempel kan en droneoperatør som tar bilder på vegne av et eiendomsmeglerforetak bli en databehandler for eiendomsmeglerforetaket dersom bildene inneholder personopplysninger.

En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. I slike tilfeller er det derfor et krav om å inngå en databehandleravtale. En databehandleravtale kan være en frittstående avtale mellom partene eller en integrert del av annet avtaleverk.

Hvis en databehandler bruker en annen databehandler (en underleverandør) til å gjøre hele eller deler av behandlingen, må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren.

Å avgjøre hvem som er behandlingsansvarlig og hvem som er databehandler, og om det foreligger et databehandlerforhold kan være vanskelig å stadfeste. Grunnen til dette er at organisering og leveransemodeller har gjort det komplekst å avgjøre hvem som gjør hva med personopplysninger, og hvem som har ansvaret. Særlig ved levering av digitale tjenester. Dersom virksomheten er usikker på om det foreligger et databehandlerforhold og om det er nødvendig å inngå databehandleravtale, finnes det tilgjengelig veiledningsmateriale for disse vurderingene for eksempel hos det danske Datatilsynet på denne nettsiden (pfd): https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf