Billedet: Shutterstock
Med dine bilkameraer kan du sikre bevismateriale ved færdselsuheld, hærværk eller tyveri. Kameraerne kan også være behjælpelige, når du skal manøvrere din bil. Da en 13 årig pige forsvandt i Kirkerup tilbage i april, var en kvindes bilkamera ligeledes en vigtig brik i politiets efterforskning.
Bilkameraer kan være nyttige i mange henseender, men i et databeskyttelsesretligt perspektiv er det nødvendigt at kigge lidt nærmere på den smarte teknologi.
Det skyldes, at reglerne i databeskyttelsesforordningen finder anvendelse, når et kamera er installeret i en bil. Det skriver adjunkt, ph.d. Tanja Kammersgaard Christensen fra Juridisk Institut på Aalborg Universitet i det nyeste nummer af Ugeskrift for Retsvæsen.
For bilkameraer er det nemlig uundgåeligt at behandle personoplysninger, både når bilen kører og holder stille. GDPR-reglerne gælder også uanset om optagelserne lagres eller ej.
Tanja Kammersgaard Christensen anvender Tesla som eksempel på et bilmærke, der er udstyret med kamera, som har ret omfangsrige overvågningsmuligheder.
Alle nye Tesla-modeller er nemlig udstyret med otte kameraer og kraftfuld billedbehandling, der giver 360 graders udsyn med op til 250 meters rækkevidde. Modellerne kan både optage billede- og videomateriale af personer og nummerplader, ikke kun når bilen kører, men også når den holder stille, skriver hun.
Og selvom hovedformålet ikke er behandling af personoplysninger, finder forordningen ifølge Tanja Kammersgaard Christensen stadig anvendelse, så længe personerne er identificerede eller identificerbare.
”Det ligger ligeledes klart, at lagring og eventuel efterfølgende behandling af billedmateriale om personer indhentet fra kameraer i biler anses for at være behandling efter GDPR art. 2, stk. 1, og art. 4, nr. 2, hvorved forordningen finder anvendelse,” skriver hun.
Hvornår har du ansvaret?
Efter at en borger blev fotograferet, da vedkommende passerede en Tesla, henviste Datatilsynet i november 2022 en henvendelse om kameraernes lovlighed til det nederlandske datatilsyn.
Det nedersaksiske datatilsyn idømte desuden i juli 2022 bilproducenten VW en bøde på 1,1 millioner euro for ikke at overholde GDPR i forbindelse med anvendelsen af kameraer på deres biler. Tanja Kammersgaard Christensen skriver, at sagen omhandlede en testbil, som var udstyret med kameraer. Det nedersaksiske datastilsyn vurderede, at behandlingen af personoplysninger ikke var i overensstemmelse med flere artikler i databeskyttelsesforordningen.
I sagen mod VW er det bilproducenten, der har ansvaret for behandlingen af personoplysningerne, men hvis der er tale om kameraer i forbindelse med helt almindelig kørsel, er det ikke nødvendigvis helt nemt at fastslå, hvem der har ansvaret, skriver Tanja Kammersgaard Christensen.
”I de tilfælde hvor bilproducenten installerer kameraer i bilen, er det primære formål med kameraerne ikke at behandle personoplysninger. Behandlingen af personoplysninger er derimod en utilsigtet, men uundgåelig følge af brugen af bilens kameraer. Behandlingen er dermed nødvendig for at kunne anvende bilens kameraer. Et forhold, der gør det vanskeligt at fastslå, hvem der kan betragtes som dataansvarlig for denne behandlingsaktivitet, idet hverken bilejeren eller bilproducenten har haft til formål at behandle personoplysninger,” skriver hun og tilføjer, at det følger af GDPR art. 26, at to eller flere dataansvarlige kan blive fælles dataansvarlige for en behandling.
Hvis bilejeren bliver betragtet som (ene)dataansvarlig for anvendelsen af en kamerapakke under kørslen, vil det være bilejeren, der kan ifalde sanktion for at køre i en bil, der ikke overholder GDPR
Tanja Kammersgaard Christensen
Overordnet set kan man dog sige, at dataansvaret afhænger af, hvem der har ”bestemmende indflydelse på behandlingsaktiviteternes formål og hjælpemidler.” Der er ifølge Tanja Kammersgaard Christensen meget, der taler for, at der ofte er et fælles dataansvar mellem bilproducent og bilejer, når bilens kameraer anvendes til kørsel, fordi behandlingen ikke kan ske uden begge parters deltagelse.
Der er dog også elementer, der taler for, at bilejer og bilproducent alene kan være dataansvarlig. Det skyldes, at det er bilproducenten, der bestemmer, at kameraerne skal installeres i bilen, og at disse anvendes automatisk under kørslen. Bilproducenten kan også være medbestemmende til at fastlægge formålet med anvendelsen, mens at bilproducenten også bevarer kontrol over databehandlingssystemet i bilerne.
På den anden side er det bilejeren, der ved kørslen rent faktisk anvender bilens kameraer og derfor forestår den egentlige behandling af personoplysningerne. Tanja Kammersgaard Christensen skriver, at det er bilejeren, der bestemmer, hvad der skal optages, hvor og hvor længe.
”Hvis bilejeren bliver betragtet som (ene)dataansvarlig for anvendelsen af en kamerapakke under kørslen, vil det være bilejeren, der kan ifalde sanktion for at køre i en bil, der ikke overholder GDPR,” skriver hun.
Hvis bilen holder stille, og ejeren vælger at lade bilens kameraer være aktiverede, eksempelvis for at optage mistænkelige aktiviteter omkring køretøjet og derefter lagrer optagelserne, vil det oftest være bilejeren, der alene har ansvaret for databehandlingen.
Det skyldes ifølge Tanja Kammersgaard Christensen, at det alene er bilejeren, der bestemmer det endelige formål med indsamling og lagring.
”Det nederlandske datatilsyn har i forbindelse med undersøgelse af Teslas »Sentry Mode« fundet, at Tesla ikke er ansvarlig for den lagring af personoplysninger, som bilerne foretager, når de er parkeret i »Sentry Mode«, det er derimod bilejeren,” skriver hun.
Principper for lovlig behandling
For at behandlingen skal være i overensstemmelse med GDPR, følger det af art. 5 stk. 1, litra a, at behandlingen er lovlig, rimelig og gennemsigtig. Det indebærer blandt andet, at de personer, hvis personoplysninger potentielt indsamles eller behandles, skal være gjort opmærksomme på det.
Det kan eksempelvis være ved et synligt advarselsskilt, hvor der som minimum skal stå, hvad formålet med behandlingen er og noget om den dataansvarliges identitet, skriver Tanja Kammersgaard Christensen.
Derudover gælder der også efter art 5., litra c og art 5., litra e regler om dataminimering og opbevaringsbegrænsning. Ifølge Tanja Kammersgaard Christensen følger det også af GDPR art 6., at den dataansvarlige skal have et behandlingsgrundlag, for at behandlingen er lovlig. Hun skriver:
”Det mest relevante behandlingsgrundlag vil være interesseafvejningsreglen i art 6, litra f, hvorefter der kan indsamles personoplysninger, der er nødvendige for at opfylde en legitim interesse, hvis de registreredes rettigheder ikke går forud for denne interesse.”