Fordonsuppgiftsbehandling = personuppgiftsbehandling?
För regelbundna läsare av denna blogg borde det inte komma som någon nyhet att inte bara namn, personnummer och fingeravtryck som direkt pekar ut en särskild individ kan vara personuppgifter. Personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en levande person. En debatt som förts är om IP-nummer ska vara personuppgifter. För de flesta människor säger en uppgift om viken trafik som skett från ett IP-nummer ingenting om vilken person som ligger bakom. Men för teleoperatörerna går IP-numret att koppla till en viss abonnent. Även om en flera individer kan ha tillgång till samma abonnemang går det ofta att tillsammans med andra uppgifter, loggar eller boendeförhållanden, skaffa sig en ganska bra uppfattning om vem som stått för trafiken.
I och med att bilar i allt högre grad blir uppkopplade mot internet aktualiseras frågan om uppgifter rörande en bil utgör personuppgifter – är fordonsuppgiftsbehandling = personuppgiftsbehandling?
Kammarrätten har tidigare kommit fram till att IP-adresser kan vara personuppgifter. Enligt en dom från i år har Kammarrätten även kommit fram till att registreringsnummer ofta är att anse som personuppgifter eftersom de anger ägaren av bilen vilket, i kombination med exempelvis tiden för registrering, ofta kan ange vem som var förare vid det aktuella tillfället (mål 2135-13).
Vi har tidigare skrivit om ”Internet of things” (sakernas internet) här på bloggen och trafiken är just ett sådant område där denna teknik är i startgroparna. Bussar som automatiskt rapporterar till ledningscentralen kan underlätta överblick över kollektivtrafiken. Genom att bilen kommunicerar med verkstäder och bensinmackar kan föraren få information direkt i bilen om tankning eller reparation behövs, kanske kombinerat med en inbjudan från en verkstad i närheten. Bilar som upptäcker varandra inför en korsning kan förebygga krockar. Visst låter det fantastiskt?
När det gäller yrkestrafiken kan det givetvis finnas ett intresse från arbetsgivare och försäkringsbolag att övervaka hur förarna kör. Har de följt hastighetsbegränsningarna och använt säkerhetsbälte? Hur miljövänligt och säkert kör de? Hur lång rast har de tagit vid macken?
Som vi kan ana väcker den nya tekniken många frågor ur ett dataskyddsperspektiv. Detta var också ett av ämnena vid en konferens som hölls av de tyska dataskyddsmyndigheterna i Hamburg den 9 oktober (i Tyskland har varje delstat en egen dataskyddsmyndighet). I samband med konferensen antogs bland annat en resolution om dataskydd inom just fordonsindustrin. Av resolutionen framgår bland annat att de som ansvarar för personuppgifter särskilt måste:
- Tillhandahålla de registrerade information om behandlingen, närmare bestämt;
– vilka typer av uppgifter som samlas in och behandlas vid körningen;
– vilka uppgifter som sänds ut från fordonet;
– vilket system i fordonet som sänder ut data;
– vem/vilka som mottar uppgifter från fordonet; och
– syftet med den aktuella dataöverföringen. - Se till att de registrerade (dvs i regel föraren och ägaren av ett fordon) kan upptäcka, kontrollera och ha möjlighet att förhindra viss dataöverföring från fordonet. Det måste även vara möjligt att radera data och det ska finnas inställningar i fordonets teknik som är integritetsvänliga.
- Se till att en laglig grund finns för den behandling som sker, genom antingen en avtalsrelation eller uttryckligt samtycke från den registrerade.
Något som varit ett återkommande tema här på bloggen är Privacy by Design. Ju mer personuppgiftsbehandlingen automatiseras, desto mindre blir den personuppgiftsansvariges möjligheter att göra bedömningar i det enskilda fallet av om varje behandling överensstämmer med lagstiftningen. Lagens krav är dock lika stränga mot behandling som utförs av programvaran i en bil som mot behandling som styrs av en människa. För att uppfylla lagens krav utan att hålla tillbaka den tekniska utvecklingen är det därför nödvändigt att dataskyddet byggs in i de automatiserade processerna. Med andra ord måste man redan i utvecklingsstadiet ta hänsyn till hur tekniken kan åstadkomma önskat resultat med minsta möjliga ingrepp i den personliga integriteten. Denna aspekt lyftes även fram i de tyska dataskyddsmyndigheternas resolution.
I resolutionen nämns även principerna om så kallad dataminimering och datasparsamhet, vilket innebär att personuppgifter ska samlas in i minsta möjliga omfång och tas bort så snart de inte längre behövs för att uppfylla det syfte som de samlades in för.
Integritetsaspekten vid utvecklingen av nya tekniker för bilar har även uppmärksammats i USA där två olika branschorganisationer som representerar stora internationella biltillverkare i förra veckan meddelade att de arbetar tillsammans för att ta fram principer för förarnas integritet.
Sammanfattningsvis kan man konstatera att även om det ibland kan vara lite klurigt att avgöra vad som är en personuppgift och inte, finns det några enkla tumregler att hålla sig efter för den som ansvarar för behandling av data. Utgå för enkelhetens skull ifrån att all data utgör personuppgifter som måste behandlas enligt gällande rätt, men sträva efter att göra uppgifterna så svåra att koppla till en person som möjligt. Sprid uppgifterna till så få som möjligt och skydda dem så väl som möjligt med hjälp av tillgänglig teknik. Kanske går det till exempel att utveckla system som varnar bilar runt hörnet för att en bil är på väg mot korsningen, utan att säga något om vilken bil som är på väg. Om det inte är möjligt för bilarna att kommunicera utan att de ”känner av” varandras IP-nummer kanske det åtminstone går att införa ett system som automatiskt raderar alla spår av kommunikationen så snart faran för krock är undanröjd. Om det anses önskvärt att föra logg över olika tillbud kanske i alla fall den mötande bilens IP-nummer kan raderas. Oavsett vilka tekniska och juridiska utmaningar som uppstår med en viss teknisk lösning för databehandling så är givetvis manöverutrymmet betydligt snävare för den som inte har valt att hantera integritetsskyddsaspekterna vid utvecklandet av den tekniska lösningen och först därefter ställer sig frågan om den tänkta tekniken är laglig (och lämplig?) ur ett integritetsskyddsperspektiv.
Den tyska resolutionen kan läsas i sin helhet (på tyska) här.
Intressant är att Tysklands högsta domstol igår (tisdag 28 oktober) skickade en fråga till EU-domstolen för prövning av om även dynamiska IP-adresser utgör personuppgifter. Se pressmeddelandet om detta (på tyska) här.
Den som vill veta mer om vad som gäller just nu avseende IP-nummer i Sverige kan läsa kammarrättens dom i mål 285-07.
Angående registreringsnummer kan särskilt hänvisas till Kammarrättens dom i mål 2135-13 (ej publicerad på internet).