Droner og persondataret

Transkript

1 Droner og persondataret Af professor, dr.jur. Peter Blume Teknologi skaber retligt efterslæb Det er et velkendt fænomen, at ny teknologi eller nye måder at anvende kendt teknologi på i mange tilfælde udfordrer den retlige regulering og de hensyn og værdier, som denne regulering søger at varetage. Det er ofte besværligt og tidskrævende at ændre retlige regler, og der er derfor en risiko for, at der opstår en diskrepans mellem reglerne og den aktuelle virkelighed. Omfanget af denne risiko afhænger dels af, hvor åbne og fleksible de gældende regler er, dvs. i hvilken udstrækning de lader sig udfylde i retlig praksis, dels af hvor krævende ny regelproduktion er. I sidstnævnte henseende har det bl.a. betydning, i hvilket forum nye regler skal gennemføres. Selvom der kan være enkeltstående variationer, kan der opstilles en skala i forhold til sværhedsgrad spændende fra rent nationale regler til EU-regler og videre til internationale regler. Efterslæbet i forhold til nye fænomener kan være større eller mindre, men der vil altid være et efterslæb, om ikke andet fordi det sædvanligvis tager tid at identificere det præcise retlige problem, som den nye teknologi aktualiserer, og herefter at udforme det adækvate retlige svar på denne udfordring. Disse almindelige iagttagelser er velkendte inden for persondataretten, der hos os i almindelighed er baseret på persondataloven (429/2000), som igen hviler på databeskyttelsesdirektivet (95/46 EF). Det er måske ikke et dagligdags fænomen, men dog et hyppigt forekommende problem, at ny informationsteknologi udfordrer regelanvendelsen og mere eller mindre påtrængende indebærer krav om ny regulering. Et velkendt eksempel herpå er den nye måde at anvende teknologien, som karakteriserer cloud computing, der på mange måder er ude af takt med det teknologiske paradigme, som persondataloven er orienteret imod. Persondataretten er godt klædt på i forhold til forudsætningen om fleksibilitet og dermed evnen til at tilpasse reglerne i retlig praksis. Derimod er persondataretten»ilde stedt«, eftersom egentlige ændringer skal igennem den komplekse og krævende korridor, lovgivningsprocessen i EU udgør. Der er tit ikke tid til at vente på resultatet af denne proces, og derfor må der satses på, at det fleksible retsgrundlag kan håndtere det nye. Droner I dette essay sættes fokus på et sådant fænomen, der består i anvendelse af droner med henblik på overvågning. En drone er et ubemandet luftfartøj, der kan have forskellig karakter. De fleste kender droner som en teknologi, der anvendes til militære eller efterretningsmæssige formål, men der kan spores en øget anvendelse af droner til civile formål, hvilket er temaet i dette essay. Udviklingen af droneteknologien er i voldsom vækst, og kun fantasien synes at sætte grænser og endda kun få grænser for, hvad denne teknologi kan blive til. 1 I dag vil dronen typisk være en helikopter. Droner, der er forsynet med kamera, hvoraf nogle kan tage et billede hvert sekund, benyttes bl.a. til forskellige typer af overvågning og er attraktive til dette formål, eftersom de er relativt billige i drift. Et faktuelt udgangspunkt er dermed, at droner med stor sandsynlighed vil blive anvendt i stigende omfang med henblik på civile overvågningsformål, og at dette aktualiserer problemstillinger, som retligt må kunne håndteres inden for luftfartslovgivningen og andetsteds. Et af disse steder er persondataretten, der kommer i spil i de situationer, hvor overvågningen medfører behandling af personoplysninger. Dette kan være tilfældet, når der indsamles persondata, som efterfølgende registreres og senere benyttes til, typisk, et kontrolformål. Et eksempel herpå er droneovervågning af landbrugsbedrifter med henblik på at kontrollere overholdelsen af de krav, hvis opfyldelse berettiger til EU-støtte, jf. mere hertil nedenfor. Et andet eksempel er trafikovervågning, som ligeledes kommenteres nedenfor. Som et yderligere eksempel kan nævnes brugen af droner med henblik på kontrol af, at skibe overholder de miljøretlige krav. Brug af droner til overvågning med henblik på en eller anden form for kontrol påkalder sig særlig interesse, dels fordi overvågningen har en upersonlig karakter, der i sig selv kan virke truende under et integritetsperspektiv, dels fordi droner i modsætning til traditionel tv-overvågning let omfatter meget store områder og dermed kan komme i strid med proportionalitetsprincippet og forstærke den almindelige tendens til, at samfundet bliver et overvågningssamfund. Den aktuelle persondataret Det kan på nuværende tidspunkt konstateres, at der ikke i dansk persondataret eller på EU-niveau er taget stilling til denne problemstilling, der ej heller er direkte tematiseret i den persondataforordning, som forventes gennemført i år eller i 2016 med en to-årig implementeringsfrist. De spørgsmål, denne form for overvågning aktualiserer, må derfor indtil videre vurderes ud fra persondatalovens almindelige regler, idet det yderligere kan overvejes, om reguleringen af tv-overvågning kan yde et bidrag til en 1. En tv-udsendelse (DR 1: So ein Ding: Fremtidens droner, 27. oktober 2014) illustrerer denne fremtid nutidigt. Juristen nr Side 3

2 klarlæggelse af gældende ret, jf. hertil senere. Ved vurderingen kan det tages i betragtning, om der er i forhold til databeskyttelse er væsentlige forskelle mellem traditionel filmisk overvågning og den overvågning, der er understøttet af droner. Dette spørgsmål er som nævnt uafklaret, og det følgende er et bidrag til et svar. Personoplysning Persondataloven aktiveres, såfremt overvågningen medfører indsamling af eller anden behandling af personoplysninger, dvs. at dens genstand er identificerede eller identificerbare fysiske personer. For at kunne afgøre, om dette er tilfældet, må det nærmere præciseres, hvad der forstås ved en personoplysning, herunder hvornår der foreligger identificerbarhed. I forhold til overvågning er det væsentligt at være opmærksom på, at en person (»den registrerede«) ikke udelukkende er en fysisk person, men at personen tillige efter fast praksis også er enkeltpersondrevne virksomheder, hvilket skyldes, at det i mange tilfælde ikke er muligt at skelne mellem oplysninger om ejeren og oplysninger om virksomheden. Dette indebærer, at ejerforholdet til arealer, som overvåges, har betydning for, om persondataloven finder anvendelse. Er de pågældende arealer ejet af en enkeltpersondrevet virksomhed eller af en virksomhed drevet som et interessentskab, hvor alle interessenter er fysiske personer, vil oplysningerne være personoplysninger. Det er væsentligt at bemærke, at persondataloven på denne baggrund skal overholdes, selvom dronen ikke direkte ser en person, og der således ikke optræder personer på de billeder, dronens kamera optager. Dette har betydning for bl.a. landbrugsovervågning. I relation til trafikovervågning, der ikke nødvendigvis tilsigter et kontrolformål, er det fast antaget i Datatilsynets praksis, at en bils registreringsnummer (nummerpladen) er en identificerbar personoplysning, idet det lægges til grund, at det sædvanligvis er bilens ejer, der fører bilen. Dette er ganske vist ikke altid tilfældet i praksis, men denne fiktion harmonerer godt med anden praksis som eksempelvis, at et IP-nummer betragtes som en personoplysning, selvom det ikke er givet, at det altid er computerens ejer, som faktisk anvender computeren. Med de to her anvendte eksempler er det sandsynliggjort, at brug af droner til overvågning, ofte med henblik på et kontrolformål, vil indebære behandling af personoplysninger, og at det derfor er påkrævet at vurdere, på hvilken måde denne overvågning kan finde sted inden for persondatalovens rammer. Hermed aktualiseres spørgsmål om hjemmel, om de generelle principper for persondatabehandling, om datasikkerhed og om rettigheder for de personer, som overvåges. Det er disse fire problemstillinger, der er i fokus i det følgende. Databeskyttelse som grundrettighed Forinden er der grund til at fremhæve, at persondatabeskyttelse ikke blot som følge af samfundets stadigt øgede digitalisering, men tillige af ideelle årsager har øget betydning i forhold til den situation, der forelå, da databeskyttelsesdirektivet i 1998 og persondataloven i 2000 trådte i kraft. Det har altid været anerkendt, at databeskyttelse var omfattet af den almindelige beskyttelse af privatlivets fred som fastslået i EMRK artikel 8, men i mange år var dette en konstatering, der primært hørte festtalerne til. Med indførelsen af EU s charter om grundlæggende rettigheder i 2000 er denne situation ændret, eftersom databeskyttelse i charterets artikel 8 betragtes som en selvstændig fundamental rettighed. Betydningen heraf er yderligere øget, efter at charteret ved Lissabontraktaten blev medtaget i traktatgrundlaget, jf. TEU artikel 6(1) samt tillige artikel 39, idet der yderligere kan henvises til TEUF artikel 16(1), som fremhæver, at»enhver har ret til beskyttelse af personoplysninger om vedkommende selv«. Der kan i EU-Domstolenes praksis spores en tendens til at lægge øget vægt på databeskyttelsens ideelle betydning og noget mindre vægt end oprindeligt på de økonomiske hensyn, der ligeledes betinger de persondataretlige reglers udformning. Denne retsudvikling er i denne sammenhæng fremhævet for at betone, at selvom hensynet til databeskyttelse ikke umiddelbart spiller en rolle for udformning af eksempelvis landbrugs- eller trafikal lovgivning, er der tale om et hensyn, der må tillægges betydelig vægt ved den nærmere forståelse og anvendelse af regler af denne karakter. Dette skyldes ikke mindst, at der ved brug af droner kan ske en så bred indsamling af personoplysninger, at det i EU-retten grundlæggende hensyn til proportionalitet ikke bliver opfyldt. I denne forbindelse kan illustrativt nævnes EU-Domstolens afgørelse vedrørende adgangen til at offentlige oplysninger om alle modtagere af EUlandbrugsstøtte (C-92/09 og C-93/09 af 9. november 2010), hvor Domstolen med henvisning til charterets artikel 7 og 8 om privatlivs- og databeskyttelse sammenholdt med muligheden for at gøre undtagelser herfra i artikel 52(1) lagde til grund, at offentliggørelse uden samtykke af navne på samtlige støttemodtagere, og dermed uden at der blev taget hensyn til bestemte kriterier, ikke kunne ske, selvom der i og for sig var hjemmel hertil i de specifikke regler om landbrugsstøtte. Det kan tilføjes, at Domstolens afgørelse vedrørende datalogning (C-131/12 af 13. maj 2014) ligeledes illustrerer den store betydning, som hensynet til proportionalitet tillægges. Hjemmel Jeg vender mig herefter imod de foran nævnte fire spørgsmål og sætter først fokus på hjemmel. Det følger af persondataloven, især 6-8, at enhver persondatabehandling forudsætter hjemmel. Denne hjemmel kan følge direkte af loven, eller den kan bero på bestemmelser i anden lovgivning, forudsat at sådanne bestemmelser ikke strider imod databeskyttelsesdirektivet. Persondataloven er således ikke nogen»overlov«, men er en del af den samlede retlige regulering, og loven må forstås og anvendes på denne baggrund. Dette gælder også, selvom der ikke i den pågældende anden lovgivning er medtaget egentlige databeskyttelsesretlige regler. Juristen nr Side 4

3 Ved vurderingen af, om hjemmelskravet er opfyldt, har det betydning, hvilken type personoplysning som behandles, idet der her skelnes mellem følsomme, semifølsomme og almindelige personoplysninger. I almindelighed er kravene til hjemmel størst i forhold til de førstnævnte oplysningstyper, men for alle gælder, at såfremt der et lovbestemt grundlag for udøvelse af kontrolforanstaltninger, vil der også efter persondataloven være hjemmel til at foretage den hermed forbundne persondatabehandling. Når droner anvendes af en offentlig myndighed, der har adkomst til at gennemføre kontrolforanstaltninger, vil hjemmelskravet være opfyldt, uden at det er påkrævet, at lovgrundlaget angiver de midler, som specifikt kan benyttes. Dette er således tilfældet for de to her anvendte eksempler, landbrugsstøtte og trafik. De persondataretlige principper Den omstændighed, at der er hjemmel, er dog ikke uden videre ensbetydende med, at personoplysninger, som er indsamlet via droner, kan behandles, idet de tre i øvrigt nævnte spørgsmål også må kunne besvares positivt. Dette gælder således i forhold til de principper, der fremhæves i persondatalovens 5, der implementerer databeskyttelsesdirektivets artikel 6, og som derfor ikke i almindelighed vil kunne fraviges ved lov. Det følger af 5, stk. 1, at behandlingen skal være i overensstemmelse med god databehandlingsskik. Dette kan fremtræde noget luftigt, men som en form for generalklausul åbner bestemmelsen mulighed for, at Datatilsynet kan stille vilkår til eller i åbenbare tilfælde ligefrem kan udelukke en behandling, der i øvrigt er lovlig. I forhold til droneovervågning indebærer bestemmelsen især, at overvågningen skal tilrettelægges på en måde, der demonstrerer, at hensynet til integritetsbeskyttelse er taget i betragtning. Bestemmelsen kan f.eks. begrunde, at de overvågede skal informeres på forhånd, jf. mere herom nedenfor. I stk. 2 fastsættes, at persondatabehandlingen skal være saglig og endvidere være formålsbestemt. Den omstændighed, at overvågningen er baseret på et lovgrundlag, indebærer, at forudsætningen om saglighed er opfyldt. Mere væsentligt er derfor, at det skal sikres, at de behandlede oplysninger ikke efterfølgende bliver anvendt med henblik på formål, der ikke er forenelige med det formål, som betinger overvågningen. Den myndighed, der foretager droneovervågning, er derfor underlagt en vis disciplin og må ikke lade sig friste til at bruge oplysningerne til andre formål, jf. også hertil i det følgende. Overvågningen, der medfører indsamling af personoplysninger, skal ifølge stk. 3 være proportional i forhold til det formål, der skal opnås, og den må endvidere udelukkende indebære behandling af oplysninger, som er relevante. Disse principper har stor betydning i forhold til beslutninger om og iværksættelse af droneovervågning, idet det specielt kan anmærkes, at proportionalitet er et af EUrettens grundlæggende principper, der bl.a. tillægges stor betydning af EU-Domstolen, jf. foran om databeskyttelse som grundrettighed. Mere konkret indebærer princippet, at myndigheden må sammenholde anvendelsen af droner med andre metoder, der også kan realisere overvågningsformålet. Det må, når andre metoder kunne være anvendelige, overvejes, om brugen af droner skaber en for stor overvågningsintensitet og er for indgribende i forhold til integritetshensynet. I denne forbindelse kan droneovervågningens upersonlige form, som kan skabe utryghed, således sammenholdes med muligheden for at anvende en mere personnær form for overvågning. Det må i almindelighed vurderes, om formålet tilsvarende eller ligefrem bedre vil kunne opnås ved brug af en anden fremgangsmåde, der er mere integritetsvenlig. I persondataretten er det anerkendt, at der i et vist omfang kan tages hensyn til den dataansvarliges ressourceanvendelse, og det er derfor legitimt at inddrage det økonomiske hensyn, når brug af droner overvejes. Dette må blot ikke være det eneste eller fuldt ud udslagsgivende hensyn. Forudsætningen om relevans har selvstændig betydning. Det må således påses, at overvågningen er indrettet således, at der kun indsamles og under alle omstændigheder kun registreres og anvendes oplysninger, som har betydning for overvågningsformålet. Når der overvåges ved brug af droner, opstår der en nærliggende risiko for, at der indsamles persondata, der er uden egentlig relation til formålet, f.eks. om personer på arealer, der ligger tæt på dem, der begrunder overvågningen. Den dataansvarlige må så vidt muligt sikre, at dette ikke sker. I det hele taget må der ikke må ske behandling af oplysninger, fordi de måske fremtidigt kan have interesse (»just in case«), og ligeledes må der ikke ske videregivelse til andre dataansvarlige, hvor oplysningerne er relevante bedømt ud fra andre formål, jf. også ovenfor om formålsbestemthed. Overvåges eksempelvis trafik med henblik på at sikre, at denne finder sted smidigt, må eksempelvis disse data ikke, eller i hvert ikke uden klar hjemmel, videregives til politiet med henblik på kontrol af om der er betalt registreringsafgift. Relevansforudsætningen tager således sigte på at disciplinere den dataansvarliges adfærd. Ifølge stk. 4 skal den dataansvarlige sikre god datakvalitet, hvilket indebærer, at de indsamlede oplysninger skal være korrekte og ikke må være vildledende. Vurderingen heraf afhænger på ny af indsamlingsformålet. I forhold til droneovervågning er dette en væsentlig, men også vanskeligt opfyldelig forudsætning, fordi der let som følge af en bredt dækkende overvågning vil kunne ske indsamling af oplysninger, der kan være vildledende. I praksis er det specielt i forhold til opbevaring af oplysningerne, at kravet om datakvalitet har betydning. Den dataansvarlige må have indrettet mekanismer, der giver mulighed for et kvalitetstjek. I denne forbindelse tages der i praksis hensyn til ressourcebelastningen, hvorfor det afhænger af oplysningernes følsomhed, med hvilke intervaller den dataansvarlige skal efterse den informationsmasse, der er blevet tilvejebragt som følge af overvågningen. Spørgsmålet må derfor bedømmes konkret, men det er under alle omstændigheder en forpligtelse for den dataansvarlige, at Juristen nr Side 5

4 der er oparbejdet rutiner, som gør det muligt at sikre en forsvarlig datakvalitet. Endelig er der i stk. 5 fastsat et tidsbegrænsningsprincip, hvorefter oplysninger ikke må opbevares længere, end overvågningsformålet kan begrunde. Princippet er således vendt imod dataophobning, der er en nærliggende fristelse med de lette opbevaringsmuligheder, som den moderne informationsteknologi tilbyder. Grundet lovens brede anvendelsesområde er der ikke i persondataloven fastsat præcise tidsfrister, hvorfor det som udgangspunkt er overladt til den dataansvarlige at fastsætte en sådan frist. Det kan i denne forbindelse yderligere nævnes, at der i 26 a, stk. 2, i relation til tv-overvågning er fastsat en frist på 30 dage, og såfremt droneovervågningen har denne karakter, skal denne frist overholdes, jf. yderligere hertil nedenfor. Datasikkerhed Den dataansvarlige er ifølge persondatalovens 41, jf. også 42, forpligtet til at indrette overvågningen på en sådan måde, at der er en tilfredsstillende datasikkerhed. Forpligtelsen hertil er nærmere udmøntet i bekendtgørelse 528/2000. Grundlæggende må de behandlede oplysninger udelukkende benyttes med henblik på opfyldelse af overvågningsformålet og kun af personer, der er autoriserede hertil. Det skal således sikres, at uvedkommende ikke kan få adgang til de pågældende oplysninger. Sikkerhedskravene afpasses bl.a. ud fra, hvilken type personoplysninger der behandles, og f.eks. i relation til landbrugsovervågning må det tillægges betydning, at der kan være tale om oplysninger om strafbare eller muligt strafbare forhold. Dette begrunder, at der må være et højt sikkerhedsniveau. Også i denne henseende tages der hensyn til den dataansvarliges ressourceforbrug, og det er derfor ikke i alle tilfælde påkrævet at anvende den nyeste form for datasikkerhed (»state of the art«). Et princip om privacy by design er blevet introduceret og er medtaget i forslaget til persondataforordning (artikel 23). Dette indebærer, at miljøet omkring overvågningen skal være indrettet med henblik på sikring af datasikkerhed, hvilket indebærer, at de anvendte droner med de tilknyttede kameraer skal være udformet under hensyntagen til datasikkerhed (»embedded privacy«). Den dataansvarlige skal udvise omhyggelighed med hensyn til valg af materiel og dermed anvende den teknologi, der gør droneovervågningen mest privatlivsvenlig. Droner befinder sig jo i luften, og det medfører en vis sårbarhed, idet de udover at kunne styrte ned kan tænkes overtaget af udenforstående.. Den dataansvarlige er efter persondatalovens 41, stk. 3 forpligtet til at træffe»sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes«. Denne forpligtelse kan aktualisere, at der skal opfyldes særlige sikkerhedskrav, når personoplysninger indsamles ved brug af droner. Rettigheder Når overvågningen medfører behandling af personoplysninger opstår spørgsmålet om, hvorledes de rettigheder, som den registrerede har efter persondataloven, skal finde anvendelse, og i denne forbindelse på hvilken måde den dataansvarlige kan indrette sine rutiner således, at rettighederne er virksomme. I forhold til overvågning er dette ikke altid helt enkelt. De i det følgende nævnte rettigheder er ligeledes medtaget i forslaget til persondataforordning. Der påhviler ifølge 28 og 29 den dataansvarlige en oplysningspligt, som ikke forudsætter et initiativ fra den registrerede. Når der indsamles persondata, skal den dataansvarliges identitet og indsamlingsformålet oplyses, idet der ligeledes skal gives anden information, som er relevant for den registreredes varetagelse af sin integritetsinteresse. Der skelnes mellem direkte og indirekte indsamling, idet det er lagt til grund i praksis, at filmisk overvågning af større persongrupper er udtryk for en indirekte indsamling ( 29), jf. herved for så vidt angår tvovervågning 26 b. Indsamling af oplysninger ved brug af droneovervågning må på denne baggrund betragtes som en indirekte indsamling. Denne kategorisering, der i og for sig ikke er åbenbar, er væsentlig, eftersom der i forhold til indirekte indsamling er situationer, hvor den dataansvarlige er undtaget fra oplysningspligten. Efter 29, stk. 3, er dette tilfældet, når oplysningspligt»viser sig umulig eller er uforholdsmæssig vanskelig«. Hensynet til den dataansvarliges ressourceanvendelse er således taget i betragtning. I denne henseende er der på denne baggrund forskel på trafikovervågning og landbrugsovervågning. For førstnævnte gælder, at antallet af registrerede er så omfattende, at det er praktisk nærmest uoverkommeligt at give den enkelte person information, hvorfor dette ikke skal ske. For sidstnævnte kan det derimod ikke antages, at undtagelsen finder anvendelse, eftersom overvågningen er rettet imod landbrug, der drives af bestemte landmænd, som er identificerede af den dataansvarlige og derfor forholdsvist let kan informeres. Den registrerede har efter 31 ret til indsigt. Dette indebærer, at den overvågede på anmodning har ret til at få besked om, hvilke oplysninger om vedkommende som er indsamlet og i øvrigt behandlet. Der er ikke fastsat nogen ressourcemæssigt betingede undtagelser fra indsigtsretten, som dermed kan anvendes også i forhold til masseovervågning. I praksis er det forholdsvis sjældent, at indsigtsretten bliver benyttet, men det er under alle omstændigheder vigtigt, at den dataansvarlige har rutiner, som kan håndtere denne situation. Der er yderligere grund til at nævne den indsigelsesret ( 35), som den registrerede har, og som indebærer, at den registrerede kan modsætte sig en i øvrigt lovlig behandling, når særlige individuelle forhold berettiger dette. For landbrugsovervågning kan dette være specifikke forhold på arealet (eksempelvis beskyttelse af udsatte dyr) og for trafikovervågning behov for anonymitet begrundet i personlige forhold. Indsigelsesretten harmonerer på mange Juristen nr Side 6

5 måder dårligt med masseovervågning, men det kan ikke udelukkes, at relevante situationer kan foreligge, og den dataansvarlige bør under alle omstændigheder være forberedt herpå. Endelig bør den særlige bestemmelse i 39 om automatiserede beslutninger nævnes, idet det fremover kan være fristende for den dataansvarlige at anvende dronens resultater umiddelbart som grundlag for afgørelser af for den registrerede negativ karakter. I sådanne tilfælde indebærer reglen, at den registrerede, medmindre særlig lovhjemmel er institueret, har ret til indsigt i beslutningsgrundlaget, dvs. hvorledes droneteknologien specifikt er blevet anvendt, og ret til at kræve, at afgørelsen skal efterses manuelt. Denne rettighed kan under myndighedsperspektivet forekomme besværlig, men den medvirker til at skabe tryghed og transparens, og den må antages at kunne håndteres også i situationer, hvor der foretages masseovervågning, eftersom den enkelte afgørelse er individuelt orienteret. Tv-overvågning Det kan overvejes, om der er andre former for retlig regulering, som bør tages i betragtning i forbindelse med persondatabehandling foranlediget af droneovervågning. Et nærliggende spørgsmål er om denne overvågning kan kategoriseres som tv-overvågning med den konsekvens, at de særlige regler herom aktualiseres. Lov (1190/2007) om tv-overvågning indeholder i 1, stk. 2, en legaldefinition, hvorefter der ved tv-overvågning»forstås vedvarende eller regelmæssigt gentagen personovervågning ved hjælp af fjernbetjent eller automatisk virkende tv-kamera, fotografiapparat eller lignende apparat«. Loven gælder kun for private, jf. 1, stk. 1, men det er lagt til grund i Datatilsynets praksis, at den som udgangspunkt også afgrænser offentlige myndigheders virksomhed, medmindre overvågningen er baseret på særskilt hjemmel, og de særlige regler i persondatalovens kapitel 6 a gælder under alle omstændigheder direkte for myndigheders tv-overvågning. Det må antages, at der ved brug af droner kan ske overvågning, som er omfattet af disse bestemmelser, idet dette vil kunne være tilfældet for trafikovervågning, medens dette næppe vil være tilfældet i forhold til landbrugsovervågning, der typisk iværksættes konkret og ikke kan karakteriseres som vedvarende eller regelmæssig. Uanset om den gennemførte overvågning er omfattet eller ej, kan den særlige opmærksomhed på tv-overvågning ses som udtryk for den opfattelse, at systematisk filmisk baseret overvågning er udtryk for en intensiv overvågning, der indebærer særlige integritetsrisici. Straffeloven Endvidere kunne det overvejes, om straffelovens 264 a om uberettiget filmisk overvågning af ikke frit tilgængelige områder kan have betydning. Dette kunne være aktuelt i forhold til privat ejede landbrugsarealer. Forudsættes det, at overvågningen er baseret på et lovgrundlag, vil dette dog gøre denne berettiget i strafferetlig forstand, men bestemmelsen har desuagtet interesse, fordi den på ny illustrerer den særlige opmærksomhed, som filmisk overvågning giver anledning til. Scenen er skrå Sammenfattende er brug af droner til overvågning af personrelateret information en fremgangsmåde, der som følge af dens fjerne og upersonlige karakter kan begrunde bekymring set i forhold til værnet af den personlige integritet og privatlivet. Denne form for overvågning kan være effektiv, og ressourcemæssige hensyn kan tale for at anvende droner, men samtidig kan dronerne øge overvågningsintensiteten i samfundet. Selvom denne overvågning nok ofte ikke vil være anmeldelsespligtig, jf. 43, er det ønskeligt at inddrage Datatilsynet, inden den iværksættes, idet der er en formodning for, at den dataansvarlige myndighed ikke altid vil være persondataretligt»godt klædt på«, idet mange myndigheder ikke er fortrolige med dette regelværk. I det hele taget bør man være opmærksom på, at teknologiske fristelser skal modtages med forsigtighed og med et klart blik for de langsigtede konsekvenser, der kan være forbundet med deres anvendelse, ikke blot på det enkelte reguleringsområde, men tillige generelt. Særligt må i almindelighed fremhæves, at hensynet til privatlivsbeskyttelser ofte fremtræder noget abstrakt og ubestemt set i forhold til umiddelbare reguleringsmæssige behov, men at varetagelsen af dette hensyn har væsentlig betydning for samfundets generelle indretning og for borgenes retssikkerhed og frihed. Den fagre nye fremtid bliver til nutid i disse år, og megen science fiction bliver til real fiction. Der er ikke tvivl om, at dronerne i stigende omfang vil blive brugt, men hensynet til databeskyttelse og i det hele taget til retssikkerhed bør sættes højt på dagsordenen, inden det besluttes, at de skal flyve. Dette bør ikke betragtes som noget selvfølgeligt, og hensynet til databeskyttelse må tages alvorligt med erindring om, at scenen er skrå og der derfor bør trædes varsomt. Juristen nr Side 7