Droner - hva er lov?

Droner - hva er lov?

Vi har laget en veileder der vi går gjennom reglene for bruk av droner. Vi har delt veiledningen inn i privat bruk, virksomheters bruk og offentlige virksomheters bruk i tillegg til å komme med generelle råd og anbefalinger.

Generelt om droner

Bruk av droner blir stadig mer vanlig. De blir brukt av både private hobbyflygere og profesjonelle aktører. Dersom dronene er utstyrt med kamera kan de samle inn personopplysninger. Det er da viktig å kjenne til regelverket slik at ikke bruken av dronen blir ulovlig.

Det er den som bruker dronen som er ansvarlig for holde seg informert om hvilke regler som til enhver tid gjelder for din dronebruk. Dersom du ikke overholder gjeldene regelverk, kan det medføre både bøter og andre sanksjoner.

Vi anbefaler derfor at du bruker informasjonen på både våre og Luftfartstilsynets nettsider til å gjøre deg kjent med hvilke krav som gjelder.

Droner og personvern

De aller fleste droner er utstyrt med kamera eller andre sensorer som kan brukes på svært invaderende måter. Du må derfor alltid respektere andre menneskers privatliv og følge personvernregelverket hvis du samler inn personopplysninger når du flyr.

Personopplysningsloven har ikke egne regler om filming eller fotografering med droner.

Innsamling av personopplysninger fra droner faller derfor inn under de generelle reglene om behandling av personopplysninger i loven.

Generelle anbefalinger

  1. Minimer innsamling av informasjon (bilder/film) hvor mennesker eller andre objekter kan identifiseres. Dett kan for eksempel gjøres ved å fly droner der det ikke er andre personer tilstede, eller ved å ta i bruk personvernvennlige systemer som sladding av bilder, fravær av opptaksfunksjon og automatisk sletting av informasjon du ikke trenger.
  2. Vær synlig når du bruker droner! Gi informasjon på eget initiativ til personer i nærheten av der du flyr.
  3. Ikke bruk bilder eller informasjon fra dronen til andre formål enn det informasjonen opprinnelig var samlet inn for.
  4. Sørg for at informasjon du samler inn sikres på en tilstrekkelig måte. Dette innebærer at du må vurdere sikkerheten i programvaren du bruker i dronen og styringssystemet, i tillegg til sikkerheten der du oppbevarer informasjonen etter flyving. Informasjon skal bare være tilgengelig for de som har behov for den!
  5. Ha klare avtaler. Hvis du samler inn informasjon på vegne av en kunde eller oppdragsgiver – sørg for at dere har klare avtaler for hvem som eier informasjonen og hvordan informasjonen skal behandles av de involverte partene.

Merking av droner og registering av fly-operasjoner

Per i dag eksisterer det ikke noe offentlig register hvor droneoperatører er pålagt å registrere når og hvor de skal fly med drone.

Alle ubemannede luftfartøyer skal imidlertid være merket med operatørens navn og telefonnummer, eller med identifikasjonsnummer som tildeles av Luftfartstilsynet. Dette følger av Luftfartstilsynets regelverk. På Luftfartstilsynets nettsider finnes også en liste over alle godkjente droneoperatører i Norge.

Hva kan du gjøre hvis du ser en ukjent drone?

Dersom du ser en drone og lurer på om du den samler inn informasjon om deg og hva informasjonen eventuelt skal brukes til, anbefaler vi at du spør føreren av dronen direkte.

Dersom du ikke ser føreren av fartøyet, eller de ikke blir enige, kan du ta kontakt med politiet og eventuelt rapportere føreren/hendelsen.

Privat bruk av droner

Når du flyr drone på hobbybasis, må du huske på at din aktivitet potensielt kan virke invaderende for andre mennesker og at du har plikt til å ivareta deres personvern.

Det er altså ikke forbudt å fly drone som lek eller hobby, men det er viktig at du alltid tar hensyn til andre menneskers personvern når du flyr.

For eksempel bør du aldri ta bilder, video eller lydopptak av andre mennesker i deres hjem eller i deres hage uten tillatelse fra de som blir avbildet.

Det er også ofte en risiko at droneflygingen oppleves invaderende eller krenkende for andre mennesker selv om du ikke tar bilde eller film av personer. En slik misforståelse oppstår gjerne fordi personen som ser dronen ikke vet hvorfor dronen er der, hvem som eier den eller om den samler inn informasjon. I slike tilfeller det det viktig at du som flyr dronen tar hensyn til at andre kan føle seg overvåket, og at du om nødvendig gir informasjon til de som spør.

Hva sier personopplysningsloven?

Dersom du samler inn informasjon ved hjelp av utstyr som er montert på en drone, og materialet kun brukes i privat sammenheng, omfattes ikke en slik bruk av personopplysningsloven. Det er likevel viktig å være klar over at det gjelder strenge regler for offentliggjøring og publisering av bilde eller film.

Eksempler på privat bruk:

1) Du arrangerer en grillfest i din egen hage og bruker drone til å ta bilder og film fra festen.

2) Du går på fjelltur og bruker dronen til å ta naturbilder og film av omgivelsene underveis.

3) Du har skaffet deg en drone med kamera og flyr på et jorde i nærheten for å øve på start og landing.

Publisering av materiale

Dersom du skal publisere bilder eller film, skal du som hovedregel alltid be de som er avbildet om lov.

Dette betyr selv om filmen fra dronen er lovlig tatt opp, for eksempel et filmopptak fra en grillfest i din egen hage, må du likevel som hovedregel ha samtykke fra de som er filmet dersom du vil dele filmen med andre.

Les mer om publisering av bilder på nett

Andre viktige regler

Hvis du bare skal bruke drone privat for lek og hobby, må du dessuten følge Luftfartstilsynets regler og retningslinjer som du finner en fin oversikt over på dronelek.no

Vi anbefaler deg også å se på EUs informasjonsside dronerules.eu hvor du finner god og utfyllende informasjon om regler, flysikkerhet og personvern for hobbyflygere.

Virksomheters bruk av droner

Droner kan samle inn bilder, video, lyder, biometriske data og lokasjonsdata som kan knyttes til en enkeltperson. Dersom din virksomhet tar i bruk droner som samler inn slike opplysninger, har du plikt til å sette deg inn i personvernregelverket.

En personopplysning er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Dette er en vid definisjon som resulterer i at for eksempel droner som tar bilder som identifiserer en person vil rammes av personvernlovgivningen. Det samme gjelder også dersom dronen samler inn andre opplysninger som kan knyttes til en enkeltperson (lokasjon, bosted, registreringsnummer på en bil og så videre).

Personopplysningsloven har noen grunnkrav som må være oppfylt for at det skal være lov til å behandle personopplysninger:

  1. Virksomheten må ha et behandlingsgrunnlag.
  2. Personopplysninger skal bare brukes til bestemte formål.
  3. Du kan ikke samle inn flere opplysninger enn nødvendig.
  4. Opplysningene skal være korrekte og oppdaterte, og ikke lagres lenger enn nødvendig.

Vi har samlet alle pliktene en virksomhet har når den behandler personopplysninger på en samleside

Hva betyr disse pliktene for virksomheter som vil ta i bruk droner?

Som utgangspunkt kan du tenke deg følgende scenario:

Et eiendomsmeglerfirma benytter seg av en drone for å lage en video som skal vise frem et hus. Dronen flyr et godt stykke over huset og filmer bygningen, eiendommen for øvrig og nabolaget rundt. På den ene siden av huset kan man se bilen til naboen og alle lekene som ligger i hagen, mens på den andre siden ser man tydelig en annen nabo gå ut av huset sitt og inn i bilen. Videoen lagres hos eiendomsmeglerfirmaet og samles inn gjennom applikasjonen DJI GO som brukes til å styre systemet.

I dette scenarioet er fokuset til dronen rettet mot huset som skal selges og ikke omgivelsene rundt. Likevel, fordi dette skjer i et tettbebygd område, vil videoen inkludere bilder av naboene og deres eiendommer. I et slikt tilfelle vil man derfor behandle personopplysninger og man vil ha en plikt til å behandle disse opplysningene i tråd med personopplysningsloven.

Her følger en gjennomgang av noen av pliktene en virksomhet som flyr drone må forholde seg til:

Behandlingsgrunnlag

Mulige behandlingsgrunnlag kan være:

  • den det har blitt samlet inn opplysninger om samtykker til det,
  • det er nødvendig for å oppfylle en avtale med den registrerte,
  • den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,
  • det er nødvendig for å vareta den registrertes vitale interesser,
  • det er nødvendig for å utføre en oppgave av allmenn interesse,
  • det er nødvendig for å utøve offentlig myndighet, eller
  • det er nødvendig for å vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

Hvilket behandlingsgrunnlag som legitimerer innsamlingen av personopplysninger i forbindelse med bruk av droner, må vurderes helt konkret i hvert enkelt tilfelle. I vårt tenkte eksempel over, vil det være mest aktuelt å be naboene om samtykke til at det filmes. Da kan de selv ta stilling til om de ønsker dette. Dette utelukker imidlertid ikke at et av de andre behandlingsgrunnlagene kan legitimere dronebruken.

Personopplysninger kan bare brukes til bestemte formål

Det er bare lov til å behandle personopplysninger som er samlet inn til utrykkelig angitte formål, og disse formålene må være saklig begrunnet i virksomheten. Det er ikke lov til å benytte opplysningene til andre formål.

Virksomheten må altså definere på forhånd hva som er formålet med innsamlingen av personopplysninger. I eksempelet over er formålet å lage en film i forbindelse med salg av bolig. Det betyr at opplysningene bare kan benyttes i forbindelse med selve salget og ikke til andre formål.

Du kan ikke samle inn flere opplysninger enn nødvendig

Det er et personvernprinsipp at det skal samles inn færrest mulig opplysninger for å oppnå formålet - det kalles dataminimering. For dronebrukere innebærer det at de må sette i verk tiltak som gjør at det samles inn færrest mulig opplysninger. Dette kan blant annet gjøres ved å:

  • Fly på tidspunkt hvor det er få mennesker tilstede
  • Bruke kun de nødvendige sensorene (for eksempel unngå video hvis det ikke er nødvendig)
  • Bruke anonymiseringsteknikker (sladding av ansikter og registreringsskilter)
  • Slette unødvendig opplysninger

Privacy by design

Privacy by design, eller innebygd personvern, betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette krever at utviklere stiller spørsmål i forkant vedrørende hvilke opplysninger som blir samlet inn, hvordan de blir brukt, hvem de blir delt med, hvor mye opplysninger som blir lagret og hvordan de blir sikret.

Ved å sørge for innebygd personvern i droner minimeres innsamlingen og lagringen av personopplysninger, og personvernkonsekvensene reduseres. I tillegg vil det være mye lettere for virksomhetene som skal ta i bruk disse systemene at personvernkonsekvensene er tenkt ut på forhånd, fremfor at man må justere på dette i etterkant.

Personopplysninger skal ikke lagres lenger enn nødvendig

Det er ikke lov å lagre personopplysninger lenger enn det som er nødvendig for å oppnå formålet. Hvis formålet er å selge huset som filmes, må opplysningene som utgangspunkt slettes når huset er solgt. Da er formålet oppnådd og det vil ikke lenger være nødvendig å lagre opplysningene.

Informasjon og innsyn

Vi ser at et stort problem for virksomheter som tar i bruk droner er å få gitt tilstrekkelig informasjon til de som eventuelt blir filmet. Dersom bruken av droner medfører at du samler inn personopplysninger, har du en plikt til å informere de det gjelder om dette. Dette betyr at det skal informeres om hvem som flyr dronen og hvorfor (til hvilket formål) det gjøres.

Det er helt grunnleggende for både dronenæringen og personvernet til hver enkelt at denne informasjonen blir gitt. Ikke bare er det en plikt, det handler også om å skape tillit til dronenæringen.

Det finnes flere måter å nå ut med informasjon til folk som blir berørt av dronebruken:

  • Bruk av flyers eller annet informasjonsmateriale
  • Informasjon på virksomhetens hjemmeside
  • Beskjed gjennom media
  • Bruk av sosiale medier
  • Informasjon på virksomhetens droner

En annen grunnleggende rettighet som er nært knyttet til informasjonsplikten, er innsynsretten. De som blir filmet har rett til innsyn i de personopplysningene som lagres om dem. Det betyr at virksomheter som bruker droner må utarbeide rutiner for hvordan de skal oppfylle denne retten.

Les mer om retten innsyn

Les mer om virksomhetenes plikt til å gi informasjon

Informasjonssikkerhet

Alle virksomheter som samler inn personopplysninger via droner må sørge for tilfredsstillende informasjonssikkerhet. Det betyr at det skal iverksettes planlagte og systematiske tiltak for å sikre opplysningenes konfidensialitet, integritet og tilgjengelighet.

Les mer om informasjonssikkerhet

Særlig om systemleverandører

Omtrent 80 prosent av de som bruker droner benytter seg av applikasjonen «DJI GO». Den gir en rekke muligheter for styring av dronen og for lagring av informasjon som samles inn.

Lagring av personopplysninger i denne eller tilsvarende apper vil kunne innebære en utlevering av opplysninger til en tredjepart. Dette betyr at virksomheter som tar i bruk slike apper/systemleverandører må finne ut av to ting:

  1. Vil leverandøren være å anse som en databehandler?
  2. Innebærer bruken av appen en overføring av personopplysninger til utlandet?

Dersom leverandøren behandler personopplysninger på vegne av virksomheten, vil den være å anse som en databehandler. Det må i så fall inngås en databehandleravtale.

Les mer om databehandleravtaler

Dersom bruken av applikasjonen betyr at det overføres personopplysninger til utlandet, er det viktig å sjekke at det aktuelle landet sikrer en forsvarlig behandling av opplysningene. Det er derfor viktig at virksomheten undersøker hva som er aktuelt i deres tilfelle.

Les mer om overføring av personopplysninger til utlandet

Offentlige myndigheters bruk av droner

Droner med kamera eller sensorteknologi vil i mange sammenhenger kunne bidra til at offentlige myndigheter løser sine samfunnsoppgaver på sikrere og mer effektive måter. Men det er også fare for at droner som brukes av offentlige myndigheter samler inn flere personopplysninger enn nødvendig og at de er unødvendig inngripende for borgerne. 

Myndigheters dronebruk bør være målrettet, begrenset, ha et klart rettslig grunnlag og totalt sett ikke utgjøre et for stort inngrep i borgernes personvern. Det innebærer at alle offentlige myndigheter som vurderer å ta i bruk droner, må sette seg inn personopplysningsloven og vurdere personvernkonsekvenser.

En viktig del av dette er personvernprinsippet om å alltid velge det alternativet som griper minst inn i personvernet til den enkelte borger. Bruk av droner i forbindelse med utføring av offentlige oppgaver vil derfor først være aktuelt der andre rimelige midler ikke strekker til.

Datatilsynets anbefalinger

Du bruker droner eller lager droner. Hva bør du gjøre for å møte personvernutfordringene dronene skaper?

Vi har utarbeidet en anbefalingsliste til de ulike aktørgruppene i den profesjonelle dronenæringen. Anbefalingene ikke ment som en uttømmende oversikt for hvilke plikter den enkelte aktør har etter personopplysningsregelverket. Hele veilederen vår Droner - hva er lov? må leses i tillegg.

Anbefalinger for drone-operatører

  1. Avklar om personopplysningsloven gjelder ved bruk av opptak eller bilde fra dronen.
  2. Avklar roller (hvem er databehandler og hvem er behandlingsansvarlig) og inngå nødvendige avtaler slik som databehandleravtale for å fastlegge ansvar.
  3. Kjenn til hvilke rettslig grunnlag som legitimerer innsamling og bruk av personopplysninger fra droner.
  4. Tenk innebygd personvern ved valg av drone og teknologi.
  5. Finn den mest passende kanalen for å gi informasjon til de registrerte.
    • Informasjonsbrev, skilt/plakater, relevante nettsider, sosiale medier, aviser.
    • Informasjon skal inneholde opplysninger som gjør den enkelte i stand til å ivareta sine rettigheter (formål, kontaktinfo, innsyn, sikkerhet, sletting).
    • Synlig operatør, synlig drone, etc.
  6. Sikre persondata som samles inn i kommunikasjonen og etter landing.
  7. Ha rutiner for sletting og anonymisering.

Anbefalinger for drone-produsenter

  1. Tenk personvern i alle utviklingsfaser av systemene. Mer om innebygd personvern.
  2. Involver personvernombud der disse er tilgjengelige.
  3. Utarbeide atferdsnormer der industrien er stor nok.
  4. Så langt det er mulig bør du gjøre dronen synlig på avstand for eksempel med lyd, lys eller tydelige farger.

Anbefalinger for statlige myndigheter

  1. Utarbeide offentlig tilgjengelige kart som viser hvor det er tillatt/ikke tillatt å fly med drone.
  2. Ved utsalg av droner bør informasjonsskriv som viser hvilke regler som gjelder ved bruk av drone legges ved. Både luftfartsregler og personvernregler bør være med.
  3. Vurdere å innføre krav om opplæring og avlegge prøve for å fly drone til kommersielle formål. Innføring i personvernregler bør være en den del av denne opplæringen.
  4. For ny lovgivning som skal legitimere bruk av droner i for eksempel justissektoren, må lovgiver vurdere personvernkonsekvensen nøye.
  5. Utforme lover og regler som regulerer bruk av droner som er forutsigbare og lette å forstå.

Disse anbefalingene er basert på råd fra EU-kommisjonens rådgivende organ i personvernspørsmål, Artikkel 29-gruppen.