Jump to content

AIS, nå definert som personopplysning.


SamH

Recommended Posts

Den normale bruker som ikke abbonerer på noen ekstratjenester kan bare se loggen 3døgn tilbake
Abbonerer du kan du se 30 dager tilbake
i de fleste tilfeller vises kun båtnavn på Marinetraffic
Hva datatilsynet godtar av logging av tidligere data er for meg ukjent

Fant en artikkel om emnet for de som orker å lese gjennom dette
https://www.regjeringen.no/contentassets/1c85116ad4e642fb83c02e981e5f243b/2013arbgrupperapportmeldingssystemer.pdf

F.eks

Kapittel 3.Arbeidsgruppens mandat, sammensetning og arbeidFiskeri-og kystdepartementet besluttet ved brevdatert27. september 2011 å nedsette en arbeidsgruppe med representanter fra både Kystverket og departementet. På bakgrunn av tidligere innspillfra Kystverket,ble arbeidsgruppen gitt i mandat å gjennomføre en juridisk vurdering av regelverk som kan ha betydning for adgangen til å dele data fra ulike systemer for overvåking av skipstrafikk og maritime rapporterings-og meldingssystemerinnenfor Kystverkets ansvarsområde.Det skullei denne forbindelse ses hen til nasjonal lovgivning, internasjonale konvensjoner, EU-rett og EØS-avtalen. Arbeidsgruppen fikk videre i oppdrag å identifisere problemstillinger som ev. burderedegjøres for eksternt

-2020-jul-2-013.jpg

Redigert av LALUNA II (see edit history)
Link to post
Share on other sites

 

Popeye70 skrev 58 minutter siden:

AIS kan potensielt identifisere enkeltpersoner, typisk i de tilfeller hvor en enkeltmannsbedrift har AIS ombord av sikkerhetsgrunner

 

.. og for å legge til bare litt til et godt innlegg fra @popeye70 over.
Det som leverer data til Marinetraffic og andre, altså iht GDPR en Data Collector, er stasjoner som kan ta imot AIS, og videreformidle det over internett til MT.  Vi har intet samtykke for innsamling, ingen hjemmel, og ingen DPA med Marinetraffic.
Jeg opererte en slik stasjon, og har mao uten grunnlag og noens samtykke levert persondata i form av AIS-B til Marinetraffic. Den ble stengt ned igår fordi jeg antar at etter klagebehandingen i Fiskeridep at den virksomheten er i konflikt med Personvernlovgivningen.
Det er vel kanskje en 50-100 stykker til i Norge som gjør det samme som jeg har gjort. Tenk overvåkning. 

Link to post
Share on other sites

1 hour ago, Popeye70 said:

GDPR sier i klartekst at alle de som får sine data behandlet har rett til å å få se all informasjon som databehandler (Marine Traffic i dette tilfellet) har lagret om en selv. Man kan også kreve å få se alle historiske data som er lagret om en selv, man kan kreve å få det slettet, man kan be om å få se se det registrerte samtykket som man har gitt til Marine Traffic, det samtykket som gir disse lov til å samle inn og lagre denne informasjonen.

 

De aller fleste prinsipper i GDPR gjelder som hovedprinsipper, og så finnes det unntak for det aller meste, slik at virkeligheten blir litt annerledes enn disse hovedprinsippene. 

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/rett-til-sletting/

 

https://lovdata.no/lov/2018-06-15-38/gdpr/a17

Redigert av Arne2 (see edit history)
Link to post
Share on other sites

Jeg vil påpeke at det er fler enn MarineTraffic som samler inn AIS-data. Å snakke om dette som MarineTraffic er litt som å kalle alle smart-telefoner for IPhone.

 

Jeg driver også en slik stasjon, men jeg har ikke slått den av. Jeg mener at vi trenger en avklaring, og det kan godt hende at de forskjellige innsamlerne av AIS-data blir nødt til å anonymisere dataene. Jeg tror ikke innsamlingen er problematisk i forhold til GDPR, men lagring og publisering vil kreve samtykke så lenge dataene kan brukes til å identifisere personer.

 

Sjekk denne stasjonen her: Trna - Station #3865 Operator er rayak.

Jeg mistenker at det er en offentlig drevet stasjon som samler inn og videreformidler AIS-data videresent fra satelitt.

 

AIS Norge drives av Kystverket og deler ut AIS-data. I tillegg til å vise dataene kan man søke om tilgang til dataene. Jeg har slik tilgang i forbindelse med noe programvare jeg leker med og da får jeg ned AIS-data fra staten i tilnærmet sanntid.

 

Jeg tenker at kanskje Kystverket skal ta stilling til dette før jeg slår av min stasjon.

Link to post
Share on other sites

Her er vel ikke persondata utgitt annet et at enkeltmannforetak registrert på en person har vært utenfor sitt gyldighetsområde og fisket og direktoratet ville ta han på det loggen så
Sensitive personopplysninger blir aldri lagt inn når en registrer Ais mottaker/sender så kan ikke riktig se hva som er over grensen her .
De som velger å bruke fullt navn i firma om det er enkeltmanntiltak eller ikke velger jo dette selv

Redigert av LALUNA II (see edit history)
Link to post
Share on other sites

Hovedprinsippene i GDPR er jo ellers ikke at det er forbudt å lagre og bruke persondata. Det kan man godt, men det stilles krav til måten det skjer på:

"Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, .."

https://lovdata.no/lov/2018-06-15-38/gdpr/a5

Link to post
Share on other sites

GDPR skiller mellom personopplysninger (navn og personnummer) og sensitive personopplysninger (seksuell legning religiøs overbevisning og helseopplysninger).

 

Vi snakker om personopplysninger, og da er kravene til sikring mindre omfattende.

For å innhente personopplysninger trenger man saklig grunn eller samtykke.

Saklig grunn kan være hjemlet i lov, så fartøyer som er pålagt AIS trenger man ikke mer for å innhente informasjonen.

Fartøyer som frivillig installerer AIS ønsker jo at slik informasjon skal innhentes, og kjøpekontrakten vil kunne tjene som samtykke.

(den kan dessuten skrues av, og om den leveres i avskrudd tilstand og når man selv skrur den på har man aktiv bidratt til publiseringen starter).

Informasjonen skal heller ikke lagres lengre enn nødvendig. Her kan det være noen utfordringer.

 

Hovedutfordringen ift GDPR er når man deler innhentet informasjon med andre, og prosesserer data for kommersiell bruk. Da må det også være saklig grunn.

Marine trafic deler med 'hvermansen'. Det er det neppe saklig grunn til. Alminnelig nysgjerrighet er ikke saklig grunn.

På den annen side prosesserer de ikke data, men publiserer data som er alment tilgjengelig. (som data du publiserer på din facebookside)

Det er ikke åpnebart at praksis er ulovlig eller uheldig. Om vi får en avklarende dom noen gang er vanskelig å spå, fordi domsavsigelser blir avgrenset til det land / områder dommen avsies for. 

Som @Midtpinne foreslår over, er det greit om kystverket avklarer dette, men mitt stalltips er at så lenge det er eier av AIS som er identifiserbart og ikke hvem som befinner seg ombord (kan være kompromitterende), vil publisering av data som er alment kjent være innafor.

Link to post
Share on other sites

8 minutes ago, Havarita said:

Det er ikke åpnebart at praksis er ulovlig eller uheldig. Om vi får en avklarende dom noen gang er vanskelig å spå, fordi domsavsigelser blir avgrenset til det land / områder dommen avsies for. 

 

Det finnes en instans som skal bidra til å koordinere rettspraksis på tvers av EU landene.

https://edpb.europa.eu/edpb_en

Men det er jo ellers, rett nok et grunnleggende prinsipp at man skal begrense de opplysningene som lagres og som brukes til det som er nødvendig.
 

Redigert av Arne2 (see edit history)
Link to post
Share on other sites

2 hours ago, Havarita said:

Marine trafic deler med 'hvermansen'. Det er det neppe saklig grunn til. Alminnelig nysgjerrighet er ikke saklig grunn.

På den annen side prosesserer de ikke data, men publiserer data som er alment tilgjengelig. (som data du publiserer på din facebookside)

 

Men det er også greit å huske at det å se på data også er å behandle data ("prosessere") i GDPR-kontekst. Man trenger ikke endre eller bearbeide informasjonen, at man kan se den er nok.

Link to post
Share on other sites

Det er vel ingen problem for Sjøfartsdirektoratet å framtidig skaffe seg adgang til å kunne benytte AIS data til å fastslå evt. regelverksbrudd på lik linje med at politiet benytter sporing av mobiltelefon gjennom bakkestasjoner for å forsterke bevisgrunnlaget for om f.eks. en mistenkt har befunnet seg i et aktuelt område oppkoplet mot en spesifikk basestasjon på et gjerningstidspunkt.

 

Det gjør de jo alltid når etterforskningen krever slikt, det handler jo bare om å avklare dette for ettertiden gjennom å innføre en korrekt hjemmel. Det vil nok raskt bli gjort om behovet tilsier det delv om de var noe raskt ute i dette tilfellet og måtte se vedtaket bli reversert av departementet.

 

Saken har ikke vært i rettssystemet.

Link to post
Share on other sites

Popeye70 skrev for 2 timer siden:

 

Men det er også greit å huske at det å se på data også er å behandle data ("prosessere") i GDPR-kontekst. Man trenger ikke endre eller bearbeide informasjonen, at man kan se den er nok.

 

Litt usikker på dette. GDPR kalles jo for datalagringsdirektivet. Det er lagring og prosessering som rammes og hvor det er krav til rutiner.

 

Om du skulle være uheldig å se en annens pass i flyplasskøen, blir du ikke straffet etter GDPR direktivet. Heller ikke om han svarer ærlig om du spør hva han heter, eller hvor han jobber eller hvilket nickname han har på båtplassen. :giggle:

Kun om du gjør ulovlig bruk av denne informasjonen, vil du rammes av GDPR.

 

For sensitive personopplysninger er det derimot langt strengere.:lipseal:

 

Jeg synes kanskje direktoratet gjør sikkerheten en bjørnetjeneste i dette tilfellet i sin iver etter å kunne bruke AIS data til å bøtelegge.

For sikkerheten og bruken av AIS hadde det vært bedre om de begrunnet botens størrelse med at AIS data i dette tilfellet hadde vært brukt til noe det ikke skulle brukes til.

Jeg skjønner heller ikke at AIS data kan dokumentere annet enn at fartøyet har vært et sted. Ikke hvem som var ombord. Overtredelsen i dette tilfellet er jo uansett rettet mot fartøyet og rederiet, og ikke til enkeltpersoner.

Det vil være mot all fornuft at man skal oppfordre til at AIS skrues av, men jeg skjønner at ikke fiskere vil avsløre sine beste fiskeplasser og derfor skrur av når de går ut.:pray::lipseal:

Redigert av Havarita (see edit history)
Link to post
Share on other sites

Som en del av “Socio-economic studies in the field of the Integrated Maritime Policy for the European Union" publiserte EU-kommisjonen "Legal aspects of maritime monitoring & surveillance data – Summary report" i 2008.

 

I rapporten konkluderes det:

Sitat

Taking the above into account, analysis of the maritime monitoring and surveillance data described above leads to the conclusion that they could potentially involve personal data (e.g. where data concerns a fishing vessel identification number, a licence number or external
registration number or other unique identifiers that can lead directly or indirectly to the identification of a natural person).

 

Personvernforordningens artikkel 6 er tydelig på hvordan personopplysninger kan behandles dersom det ikke foreligger et aktivt samtykke.  MarineTraffic faller etter mitt syn ikke under noen av disse.

 

Ut fra dette må man konkludere med at MarineTraffic må innhente aktivt samtykke før de kan vise posisjonene til alle fartøyer som ikke er forpliktet til å kringkaste AIS, og at fartøyets eier kan kreve all informasjon om fartøyet slettet fra MarineTraffic.

Redigert av asgeirn
link til rapporten (see edit history)
Link to post
Share on other sites

Her er jeg uenig med deg:

 

Bokstav a): Samtykke.

Aktivt samtykke oppnås enkelt og greit ved at du frivillig kjøper og skrur på AIS-senderen din. Forutsetter at den er levert avskrudd, slik at det kreves en aktiv handling fra brukeren side..

 

Bokstav b): Nødvendighetskrav.

Publisering kan sies å være nødvendig for at din posisjon skal kunne kringkastes slik du faktisk ønsker.

 

Bokstav d): Vitale interesser.

Personens vitale interesse er å bli identifisert, lokalisert og gjenfunnet. Data som publiseres er lik de data som skal gjenfinnes ved søk og redning.

Båtens registerdata er også vitale i søk og redning.

 

Publiseringen på 'Marine Trafic' blir da ikke spesielt betenkelig og er i mine øyne hensiktsmessig for å ivareta brukerens interesser.

Link to post
Share on other sites

Der er jeg uenig med Havarita. Det er etter mitt syn ikke gitt samtykke til publisering og lagring av AIS informasjon til eksterne nettsteder. Kun til publisering til andre AIS mottakere i nærheten og redningsmannskap. Spørsmålet er derfor hvor vidt et slikt samtykke med å skru på AIS skal gjelde. 

 

Men hva jeg eller du synes kan vi jo diskutere lenge. :giggle:  Det som er interessant er om det kommer en juridisk avklaring senere. :smash: (dommer)

 

Når det gjelder "fattigmanns AIS" så ligger det implisitt at samtykke er gitt, for man er avhengig av nettstedet for at den skal fungere. 

Link to post
Share on other sites

Hvilket spørsmål er det som skal opp til doms? Det som er lagt fram som "sak" det er jo bare det at Fiskerideprtementet mener at AIS data kan være å betrakte som persondata. Er det noen tvil om at dette er riktig?

Påstanden om at det er problematisk å bruke eller publisere AIS data, på grunn av at det er persondata, til publisering hos Marinetraffic, det er jo bare en påstand framsatt her på forumet.  

 

For at det skal bli noen sak og en dom, så kreves det jo to parter og en eller annen rettskonflikt. 

Her er ellers "privacy policy" til Marine Traffic. Det kan vel ikke tvil om at de lagrer og bruker persondata:
https://www.marinetraffic.com/en/p/privacy-policy 

Redigert av Arne2 (see edit history)
Link to post
Share on other sites

@Arne2, det er ingenting som skal til dom nå. Men alt vi gjør her inne er å synse, og det har ingen betydning for hvordan ting skal håndteres i virkeligheten. En dom ville skape presedens og si mer om nettopp det.

 

Det er ingen tvil om at Fiskeridepartementet mener at AIS er persondata, slik jeg leser saken. Men det er deres innstilling. Det betyr ikke at det er innstillingen til myndighet(er) som står over dem.

 

Men i det øyeblikket en myndighet av en gitt størrelse bestemmer at AIS er en personopplysning, da vil Marinetraffic ha et problem. For da samler de inn personopplysninger som de per definisjon ikke har samtykke til å samle inn eller lagre. 

Hvordan de behandler personopplysninger om sine medlemmer eller web-brukere har ingenting å si i denne sammenheng. 

Vi diskuterer dette... ..fordi vi liker å synse og mene. Ikke fordi vi nødvendigvis har rett. :giggle:

Link to post
Share on other sites

Joda, jeg liker jo å diskutere jeg også, og det er jo også slik at selv om man tror man har rett, så hender det jo også rett som det er, spesielt i forhold til juridiske problemstillinger, at det viser seg at man alikevell ikke har rett, og noen ganger så er det jo slik at det som var rett før det har etterhvert blitt feil.

Når det gjelder hva som er personopplysninger, så er jo dette definert i artikkel 4:

 

***********
I denne forordning menes med
1) «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,

***********

Det kan slik som jeg ser det neppe være en rimelig tvil om at Sjøfartsdepartementet har rett i forhold til det som går på "personopplysninger" og "lokaliseringsopplysninger". Her er reglene såpass klare at dette ikke kan bli til noe tvistespørsmål.

 

1 hour ago, Grand Banks jr said:

Men i det øyeblikket en myndighet av en gitt størrelse bestemmer at AIS er en personopplysning, da vil Marinetraffic ha et problem.

 

Nei, dette mener jeg at GDPR faktisk tillater.

Det er ikke forbudt å bruke personopplysninger til nærmere avgrensede anvendelser, og det behøves heller ikke nødvendigvis noe samtykke til bruk av opplysningene.

Hvis man vil ha prøvd denne saken, så kan vel egentlig hvem som helst som har AIS utstyr som rapporterer AIS data sende en klage til det norske Datatilsynet der  man klager over at posisjonsdata publiseres på Marinetraffic. Da vil saken være i gang. Datatilsynet er tilsynsmyndighet i Norge og det skjer jo et samarbeid med tilsvarende myndighetsorganer i EU. Jeg ville jo ikke tro at en slik klage kan føre fram.

https://www.datatilsynet.no/om-datatilsynet/oppgaver/#:~:text=Lukk-,Datatilsynets oppgaver,som kan knyttes til dem.

https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/hvordan-kan-jeg-klage-til-datatilsynet/

Jeg vil tro at man kan få en tilbakemelding som sier at AIS data er persondata, og at det er helt OK å bruke denne type persondata, til dette formålet.

Redigert av Arne2 (see edit history)
Link to post
Share on other sites

  • 9 måneder senere...

Delta i diskusjonen

Du kan skrive innlegget nå, det vil bli postet etter at du har registrert deg. Logg inn hvis du allerede er registrert.

Guest
Svar på dette emnet

×   Du har postet formatert tekst..   Fjern formattering

  Only 75 emoji are allowed.

×   Innholdet du linket til er satt inn i innlegget..   Klikk her for å vise kun linken.

×   Det du skrev har blitt lagret.   Slett lagret

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...