Download original attachment
(PDF file)
This is an HTML version of an attachment to the Official Information request 'SouthPAN Programme Clarification'.
Toitū te Whenua Privacy Assessment 
SouthPAN (SBAS) project 
About this assessment 
Privacy  law  and  public  expectations  require  Toitū  te  Whenua  LINZ  to  treat  personal 
information  with  care;  dealing  with  personal  information  appropriately  is  essential  to 
maintaining public trust in Toitū te Whenua LINZ and our services. 
ACT 1982
One of the best ways we can make sure we treat personal information with care is to carry 
out a privacy assessment before getting stuck into any new project, procurement, system 
or process change, or significant activity. 
This report contains the results of an assessment prepared by s9(2)(a)
 in the Legal 
Services team using the Privacy Assessment tool offered by Legal Services. 
Overall results and approval process 
No  personal  information  will  be  collected,  used,  stored  or  disclosed  as  a  result  of  the 
INFORMATION 
SouthPAN (SBAS) project. Accordingly, this assessment has not been reviewed by a member 
of the Legal Services team and does not require any formal approval. 
What personal information is involved? 
Information that we hold  is personal information if  the  information  is  about  a  person,  the 
person  is  an  individual  (rather  than  a  company,  or  other  legal  entity),  and  the 
individual is identifiable. 
In respect of SouthPAN (SBAS) project, the following personal information is involved: 
(no personal information) 
RELEASED UNDER THE OFFICIAL 







Issue-by-issue assessment 
☑ Information privacy principle 1 – purpose of collection of personal information 
This information privacy principle does not apply, as SouthPAN (SBAS) project does not 
result in the collection of personal information. 
1982
☑  Information privacy principle 2 – source of personal information 
ACT 
This information privacy principle does not apply, as SouthPAN (SBAS) project does not 
result in the collection of personal information. 
☑   Information privacy principle 3 – transparent collection 
This information privacy principle does not apply, as SouthPAN (SBAS) project does not 
result in the collection of personal information. 
☑    Information privacy principle 4 – manner of collection of personal information 
This information privacy principle does not apply, as SouthPAN (SBAS) project does not 
INFORMATION 
result in the collection of personal information. 
☑     Information privacy principle 13 – unique identifiers 
This information privacy principle does not apply, as SouthPAN (SBAS) project does not 
result in the creation or use of a unique identifier. 
OFFICIAL 
☑      Information privacy principle 5 – storage and security of personal information 
Assessment: 
THE 
This information privacy principle does not apply, as SouthPAN (SBAS) project does 
not result in the storage of personal information. 
☑       Information privacy principle 9 – Agency not to keep personal information 
UNDER 
for longer than necessary 
Assessment: 
 This information privacy principle does not apply, as SouthPAN (SBAS) project does 
not result in LINZ holding personal information. 
 
RELEASED 
 
       
 





☑       Information privacy principle 6 – access to personal information 
Assessment: 
This information privacy principle does not apply, as SouthPAN (SBAS) project does 
not result in the storage of personal information. 
1982
 
ACT 
☑        Information privacy principle 7 – correction of personal information 
Assessment: 
This information privacy principle does not apply, as SouthPAN (SBAS) project does 
not result in the storage of personal information. 
☑         Information privacy principle 8 – Accuracy of personal information to be 
checked before use or disclosure 
Assessment: 
INFORMATION 
This information privacy principle does not apply, as SouthPAN (SBAS) project does 
not result in LINZ using personal information. 
 
OFFICIAL 
☑          Information privacy principle 10 – Limits on use of personal information 
This information privacy principle does not apply, as SouthPAN (SBAS) project does 
not result in LINZ using personal information. 
THE 
 
☑                    Information  privacy  principle  11  –  Limits  on  disclosure  of  personal 
information (keeping information confidential) 
UNDER 
This principle does not apply as SouthPAN (SBAS) project will not involve the disclosure of personal 
information outside of LINZ.  
 
 
 
RELEASED 
 
 
 


☑                      Information  privacy  principle  12  –  Limits  on  disclosure  of  personal 
information (keeping information confidential) 
Information privacy principle 12 is triggered when a person seeks to rely on one of the exceptions 
in information privacy principle 11. It therefore does not apply in respect of SouthPAN (SBAS) project 
1982
Going beyond the information privacy principles, do you consider that there are 
any  ‘social  licence’,  ‘right  thing  to  do’,  or  ‘expectation  of  the  public  service’  risks 
involved in SouthPAN (SBAS) project? 
ACT 
Assessment: 
Yes. s9(2)(a)
 and s9(2)(a)
 previously consulted with the Office of the Privacy Commissioner 
in  relation  to  potential  third-party  privacy  implications  of  an  SBAS.  See  objective  reference: 
A3693401,Privacy Commissioner  
 
  
Advice from the Office was as follows:    
 "I note that last year our Office recommended that LINZ conduct a brief privacy analysis for 
each of the use cases. Having reviewed the paper, it does not appear that the SBAS involves 
INFORMATION 
the collection, use or disclosure of any additional personal information at this early stage. 
Accordingly  we  no  longer  consider  this  necessary,  but  recommend  you  bear  privacy 
implications in mind throughout the process. "    
  
In addition to providing a copy of a Cabinet paper from 2019, s9(2)(a)  specifically drew the Office's 
attention to the prospect that "The SBAS will vastly improve the accuracy of GPS positioning, and 
we  thought  the  OPC  might  like  to  comment  –  especially  in  relation  to  privacy  concerns."  
OFFICIAL 
  
The Office did suggest that we bear privacy implications in mind throughout the process. We have 
therefore decided to carry out a fresh Privacy Assessment.  
 
THE 
  
Although none of the information privacy principles are triggered, we do recognise that there are 
some potential third-party privacy impacts. These kinds of impacts are not unusual – our LDS, for 
example, enables people to do things with data that we might not approve of. Although we have 
some limited contractual controls there (and which we can’t have in respect of SBAS, which will just 
be a signal that anyone can access), the main way that risk is regulated is by privacy law directly 
UNDER 
regulating the use of that data by LDS users themselves. There is, of course, value in a fairly blue-sky 
bit of work on this – but those risks are likely to be quite speculative, and probably beyond the set 
of risks for which we are legally and socially responsible.    
  
Improving the accuracy of publicly-accessible GPS signals may enable third parties to do some things 
that have negative impacts on the privacy of other persons. However, those risks are likely to be 
quite speculative, and probably beyond the set of risks for which we are legally and socially 
responsible. Rather, the responsibility rests with users of SBAS signals to ensure that they comply 
RELEASED 
with their obligations under the IPPs. As noted in notes from a meeting between LINZ and the Office 
in 2018, "A privacy impact assessment should be constructed by any party using SBAS to deliver 
apps (particularly govt.) guidance on this can be found on privacy commissioner website."  
 
  
While  there  is  some  identifiable  social  licence  risk,  the  Office  of  the  Privacy  Commissioner  has 
 

previously agreed that the responsibility to manage that sits primarily with people using SBAS in a 
way that creates privacy impacts. Moreover, by having consulted twice with the Office of the Privacy 
Commissioner, any social licence / expectation of LINZ risk has been nearly entirely mitigated. 
We will provide a copy of this assessment to the Office of the Privacy Commissioner, and will also 
offer a briefing on SBAS technology. 
1982
Going beyond the information privacy principles, do you consider that there is any 
prospect  that  SouthPAN  (SBAS)  project  may,  in  relation  to  privacy,  breach  our 
obligations under Te Tiriti o Waitangi? 
ACT 
Assessment: 
I note that we currently do not have internal guidance on how to assess privacy impacts on Māori / 
compliance with our duties under te Tiriti and tikanga Māori in relation to data specifically about 
Māori and personal information generally.  
 
  
That  said,  there  are  no  obvious  adverse  impacts  on  Māori  in  relation  to  privacy.  
  
I  also  note  the  SBAS  Project  Stakeholder  Engagement  Plan  (A4264741,SBAS  Project  Stakeholder 
Engagement and Communication Plan_V1.0) notes that Te Puni Kokiri will be informed about SBAS. 
INFORMATION 
 
OFFICIAL 
THE 
UNDER 
RELEASED