Personvern og lokasjonsbaserte tjenester

Personvern og lokasjonsbaserte tjenester

Personvern og lokasjonsbaserte tjenester

Dag Wiese Schartum, Avdeling for forvaltningsinformatikk

Hva er lokasjonsbaserte tjenester?

I programmet FBI på NRK1 ble det onsdag 21. mars 01 vist et system som via satellitt gjorde det mulig for et forsikringsselskap å finne ut hvor en bil befant seg til enhver tid. Også annet teknologi, for eksempel mobiltelefonteknologi, kan på lignende måte brukes til å fastslå hvor bæreren av mobilen befinner seg. Dette vil trolig danne grunnlag for at aktører i telemarkedet utvikler tjenester som er basert på kunnskapen om hvor en mobilbruker oppholder seg. Vi kan kalle dette "lokasjonsbaserte tjenester".

Noen slike tjenester kan oppfattes som uskyldige, for eksempel dersom du når du er på reise med bil får anledning til å abonnere på tjenester som gir deg melding om ledige hotellrom langs veien med opplysning om pris m.v. I andre tilfelle vil mange hevde at tjenesten klart går på personvernet løs, for eksempel dersom arbeidsgiver pålegger sine ansatte (sjåfører, journalister) å bruke slikt utstyr for at arbeidsgiver til enhver tid kan følge de ansattes bevegelser. Det kan derfor være grunn til å spørre hvor grensen går mellom det lovlige og det ulovlige på dette området. Nedenfor vil jeg kort forklare hvorledes personopplysningsloven må anses å virke inn på bruk av slike tjenester.

Når har andre lov til å samle inn opplysninger om hvor du befinner deg?
Lokasjonsbaserte tjenester innebærer at det vil bli behandlet personopplysninger.. For at det over hode skal være lovlig å behandle personopplysninger må den som driver tjenesten ha et rettslig grunnlag. Her er det i hovedsak tre muligheter:

  • Enten må den som driver tjenesten ha samtykke fra hver enkelt person som de vil samle inn opplysninger om. Samtykket må være frivillig, du må klart ha gitt uttrykk for hva du går med på, og du må ha fått informasjon om hva opplysningene skal brukes til.
  • Den neste muligheten er at den lokasjonsbaserte tjenesten anses å være nødvendig for å inngå eller gjennomføre en avtale med den personen det skal samles inn opplysninger om. Dette kan hevdes å være tilfellet i eksempelet med forsikringsselskapet som krevet installering av GSM-system for å tegne forsikringsavtale med eiere av dyre biler.
  • For det tredje kan den som driver en lokasjonsbasert tjeneste behandle personopplysninger dersom de har lovhjemmel til å gjøre det. Jeg er ikke kjent med at noen slik lovhjemmel finnes.

Kort oppsummert skal bruk av lokasjonsbaserte tjenester i de aller fleste tilfelle være basert på frivillighet: Enten godtar du tjenesten som del av en annen avtale (f.eks. en forsikringsavtale), eller så godtar du den som en selvstendig avtale der den lokasjonsbaserte tjenesten er hovedsaken.


Når kan du trekke deg ut og avslutte bruken av tjenesten?
Frivilligheten innebærer rett til å trekke seg ut og nekte fortsatt bruk av den lokasjonsbaserte tjenesten:

  • Dersom tjenesten er en nødvendig del av en annen avtale (f.eks. forsikringsavtale), kan du trekke deg ut så snart avtalen tillater det, typisk en gang i året.
  • Dersom tjenesten er basert på samtykke fra deg, kan du når som helst trekke samtykket tilbake og avslutte bruken av tjenesten.


Når du har avsluttet bruken av tjenesten plikter som regel den som bestemmer over tjenesten å slette alle opplysninger om deg. Dette gjelder også de opplysninger han har videresendt til andre.


Hva kan de bruke opplysningene om deg til?
De opplysninger som blir samlet inn (om hvor du befinner deg m.v.) kan bare brukes til bestemte formål. Formålene må fastsetter før innsamlingen av opplysninger starter. Hvis forsikringsselskapet for eksempel har krevet bruk av GSM i dyre biler for å oppspore bilene dersom de blir stjålet, kan opplysningene bare brukes til dette formålet. Det betyr bl.a at en kreditor ikke kan gå til forsikringsselskapet og be om at de sporer opp hvor bilen befinner seg.

Det er heller ikke anledning til å samle inn flere opplysninger enn det formålet begrunner. For eksempel kan forsikringsselskapet samle inn opplysninger om hvor bilen befinner seg, men trolig ikke registrere opplysninger om hastighet.


Hva har du rett til å vite om bruk av lokasjonsbaserte tjenester?
I følge personopplysningsloven (§ 18) kan alle, også de som ikke selv er registrerte eller er brukere av lokasjonsbaserte tjenester, kreve å få opplysninger om hva slike konkrete tjenester går ut på. Alle kan for eksempel kreve svar fra et forsikringsselskap som krever GSM i dyre biler på spørsmål som f.eks.:

  • Hva er formålet med systemet? (spore stjålne biler, etterspore kunder som ikke har betalt for å kunne ta pant i bilen m.v.)
  • Hvilke opplysninger blir samlet inn (posisjon, hastighet m.v.)
  • Hvor hentes opplysninger fra (fra GSM-systemet, eventuelt fra politiet hvis bilen blir stjålet m.v.)
  • Hvem kan få tilgang til opplysningene (andre forsikringsselskaper, politiet, andre lands myndigheter m.v.)
  • Hvem har det daglige ansvaret for GSM-systemet? (forsikringsselskapet, et vekterfirma m.v.)


Du trenger ikke begrunne hvorfor du ønsker å vite dette, og de kan ikke kreve noen form for betaling for å gi opplysningene.


Noen rettspolitiske tanker
Jeg har understreket at bruk av lokasjonsbaserte tjenester i stor grad er basert på frivillighet, d.v.s. på samtykke eller annen avtale med den enkelte. På kort sikt vil det derfor trolig være mulig å si nei dersom for eksempel arbeidsgiver krever av sine ansatte at slik teknologi skal innføres. Situasjonen kan likevel raskt bli annerledes for personer som søker nytt arbeid, og der arbeidsgiveren stiller som vilkår for ansettelse at arbeidssøkeren godtar denne formen for personovervåkning. På samme måte vil valgfriheten innen forsikringsmarkedet bare være reell så lenge det er mulig å velge selskaper som ikke krever at forsikrede biler skal ha GSM. Det kan imidlertid lett skje at de fleste selskap etterhvert krever GSM, også for langt billigere biler enn i eksempelet i FBI. I neste omgang kan det så tenkes at selskapene krever å bruke opplysningene hvis forsikringen ikke blir betalt innen forfall, eller til å påvise at bilen har holdt for stor fart før en ulykke og at forsikringsutbetalingen derfor må reduseres.

Forsikringsselskaper, arbeidsgivere og andre som ønsker at ansatte, kunder og andre gjør bruk av lokasjonsbaserte tjenester kan ha gode grunner for det: Selvsagt skal biltyver tas, forsikringskunder betale og folk som kjører ulovlig fort og selv er skyld i ulykker, bør ikke alltid ha krav på full forsikringsutbetaling. Fra et personvernsynspunkt kan en imidlertid spørre hvilke virkemidler det er rimelig at arbeidsgivere, forsikringsselskaper og andre skal rå over for å få sin rett. Er det for eksempel rimelig at de skal ha vid rett til innsyn og kontroll i folks private sfære for på den måten å gjøre det lettere å fremme sine interesser?

Lokasjonsbaserte tjenester dekkes av de generelle bestemmelsene i personopplysningsloven. I mange situasjoner vil denne loven gi et forholdsvis godt vern og bestemmelsesrett til den enkelte. Dersom "alle" krever bruk av samme teknologi, kan det imidlertid innen visse områder (arbeidsliv, bilforsikring), vise seg å bli liten reell valgfrihet igjen. I såfall kan det være grunn til å vurdere om det er behov for særskilt lovregulering, for eksempel bestemmelser i arbeidsmiljølovgivningen som setter grenser for når en arbeidsgiver har lov til å stille krav om bruk av lokasjonsbaserte tjenester og annen "overvåkningsteknologi".

Publisert 17. des. 2009 19:33