Droner, Robotter og Persondata Præsentation for UAS Denmark og Robo-Cluster 3. november 2016
NJORD Law Firm Full service, nordisk gateway Stærk inden for IP (Immaterialeret), transport, luftfart og entrepriseret Drone og Robotics Practice Group Peter Gustav Olson Baggrund Født og opvokset i U.S.A., amerikansk advokat (Washington D.C. Bar) Dansk gift, dansk advokat Arbejder primært med varemærker og designs, registrering og håndhævelse, især for amerikanske virksomheder Men også for danske virksomheder, herunder startups Hertil kommer persondata Terms and conditions hjemmesider Samtykkeregler
Program Persondata - principper Droner og persondata Robotter og persondata De nye persondataregler
Persondata principper Persondata = en hver form for information om en identificeret eller identificerbar person Dataansvarlig bestemmer formålet med data (ejer dataen) Databehandler behandler data på den dataansvarliges vegne
Dataansvarlig og Databehandler Dataansvarlig (DA) og databehandler (DB) kan være den samme Fx landmand der burger drone for at kortlægge sin mark Fx kommune der stiller plejerobot hos en ældre borger Dog typisk forskellige Fx droneoperatør (DB) der inspicerer bygning for en bygherre (DA) Fx Maskinstation (DB), der har en agrorobot kørende hos en landmand (DA) Den dataansvarlige har hovedansvaret, men databehandleren er også underkastet regler
Følsomme data særlige regler Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. undtagelse = bl. andet eksplicit samtykke
Droner og persondata Persondata omfatter både direkte personhenførbar data, samt såkaldte pseudopersondata. Til sidstnævnte hører fx IP adresser. Droner med kameraer kan kobles med ansigtsgenkendelsessoftware og indsamler direkte persondata. Kan disse ansigter slørres automatisk Droner med radiofrekvens modtagere kan opsamle IP adresser og andet pseudopersonlige data.
Droner og persondata Aftalen: Det vil være meget vigtigt at den dataansvarlige (fx bygherre) i aftalen med droneføreren har forpligtet droneføreren at overholde (også) persondatalovgivningen. Ellers kan der være bøde til den dataansvarlige bygherre. Privacy by default and by design kan opsamling af persondata undgås, fx ved at slukke for kameraet på vej hen til bygningen ved at bruge mindre opløsning på kameraet
Robotter og persondata Robotter med sensorer vil være omfattet af de samme regler som nævnt ovenfor vedrørende droner. Det særlige ved robotter synes at være inden for medicin og pleje. Det er fordi helbredsoplysninger er særlig følsomme persondata, der beskyttes efter endnu strengere regler end almindelig persondata. Eksempler på robotter der anvender helbredsdata er robotkirugi og plejerobotter. Interaktive plejerobotter vil enten have følsom persondata inden i (lokalt) eller være koblet via internettet. For eksempel en læge vil kunne fjernovervåge en patient, der er hjemme, med en plejerobot. Der vil ske en overførsel af følsom data frem og tilbage, og det må kun ske med særlig sikkerforbindelser.
Den nye EU Persondataforordning 4 års forhandlinger Vedtaget i december 2015 Træder i kraft 24. maj 2018 Ved lovovertrædelse potentielt står bøder på op til 4% af den årlige omsætning eller 20 millioner.
Den nye EU Persondataforordning Styrker væsentligt EU-borgers rettigheder, herunder Retten til at blive glemt Dataportabilitet Adgang til data Privacy by design Privacy by default Krav til samtykke fra forbrugeren er skærpet
Samtykke - entydigt, nødvendigt og granular Samtykke skal være utvetydig. Samtykke til at behandle følsomme personaledata skal være eksplicit. Samtykke skal stadig spørges konkret, informeret og aktivt. Kan være teknisk foranlediget, men tavshed eller passivitet er ikke tilstrækkeligt. Opt-in, ikke opt-out. Samtykke skal være frit givet og enkeltpersoner skal kunne tilbagekalde samtykke (uden skade). Modtagelse af en tjeneste bør ikke "binde brugeren til at give samtykke til behandling af persondata som ikke er nødvendig for tjenesten skal leveres. Der er en formodning om, at visse typer af tvang eller bundet samtykkemekanismer ikke vil være gyldige: virksomheder bør at sikre, at samtykkemekanismer for at præsentere ægte og granular valg for at samtykke anses at være gyldigt.
Old Facebook s old T&C You hereby grant Facebook an irrevocable, perpetual, nonexclusive, transferable, fully paid, worldwide license (with the right to sublicense) to (a) use, copy, publish, stream, store, retain, publicly perform or display, transmit, scan, reformat, modify, edit, frame, translate, excerpt, adapt, create derivative works and distribute (through multiple tiers), any User Content you (i) Post on or in connection with the Facebook Service or the promotion thereof subject only to your privacy settings or (ii) enable a user to Post, including by offering a Share Link on your website and (b) to use your name, likeness and image for any purpose, including commercial or advertising, each of (a) and (b) on or in connection with the Facebook Service or the promotion thereof.
Current Facebook T&C You own all of the content and information you post on Facebook, and you can control how it is shared through your privacy and application settings. In addition: For content that is covered by intellectual property rights, like photos and videos (IP content), you specifically give us the following permission, subject to your privacy and application settings: you grant us a non-exclusive, transferable, sub-licensable, royalty-free, worldwide license to use any IP content that you post on or in connection with Facebook (IP License). This IP License ends when you delete your IP content or your account unless your content has been shared with others, and they have not deleted it. When you delete IP content, it is deleted in a manner similar to emptying the recycle bin on a computer. However, you understand that removed content may persist in backup copies for a reasonable period of time (but will not be available to others). When you use an application, the application may ask for your permission to access your content and information as well as content and information that others have shared with you. We require applications to respect your privacy, and your agreement with that application will control how the application can use, store, and transfer that content and information. (To learn more about Platform, including how you can control what information other people may share with applications, read our Data Policy and Platform Page.) When you publish content or information using the Public setting, it means that you are allowing everyone, including people off of Facebook, to access and use that information, and to associate it with you (i.e., your name and profile picture). We always appreciate your feedback or other suggestions about Facebook, but you understand that we may use your feedback or suggestions without any obligation to compensate you for them (just as you have no obligation to offer them).
Big Data Problem med skærpede samtykkeregler og mulighed for Big Data analyse forretningsmodel gående på, at man bare skal have ét samtykke, så kan man bruge alt data til hvad som helst, går ikke.
Droneforening og Robotforening Der kommer (vist) Code of Conduct inden for branchen Certificerings organ udpegning af Certificering Brug af tegn European Data Protection Certified Kan være relevant bl. a. for eksport
Konklusioner De nye regler kommer i 2018, men de kloge tilpasser deres virksomheder nu. Gamle forretningsmodeller baseret på Big Data uden samtykke bruges ikke længere. Mulighed for øget eksport ved at indbygge privacy by design og privacy by default allerede nu.
SPØRGSMÅL?
Tak! Peter Gustav Olson Partner, Copenhagen Email: pgo@njordlaw.com