Lokasjonsbasert befolkningsvarsling på SMS

Lokasjonsbasert befolkningsvarsling på SMS

I denne veiledningen beskriver vi hvordan tjenester for lokasjonsbasert befolkningsvarsling på SMS fungerer og hvilke regler som gjelder for å ta dem i bruk. Veiledningen er først og fremst rettet mot offentlige myndigheter. Imidlertid kan også andre ha nytte av å lese den, for eksempel teleoperatører og publikum.

Innledning

Datatilsynet har registrert at offentlige myndigheter i økende grad har tatt i bruk tjenester for lokasjonsbasert SMS-varsling siden begynnelsen av pandemien i 2020. Vi har derfor gjort nærmere undersøkelser av disse varslingstjenestene for å få klarhet i hvordan de behandler personopplysninger og hvordan ansvaret skal fordeles mellom de involverte partene. 

Hensikten med disse undersøkelsene er å sikre at personvernregelverket og de registrertes rettigheter ivaretas.

Hva er lokasjonsbasert SMS-varsling?

Med lokasjonsbasert SMS-varsling mener vi tjenester hvor forskjellige statsmyndigheter, gjennom teleoperatørene, sender ut SMS til alle som oppholder seg i et bestemt geografisk område som defineres av myndigheten, basert på lokaliseringsdata fra innbyggernes mobiltelefoner. Disse tjenestene skiller seg fra mer tradisjonelle former for befolkningsvarsling på SMS, for eksempel varsling basert på registrert bostedsadresse.

Lokasjonsbasert SMS-varsling kan som hovedregel kun bestemmes/ igangsettes av statlige myndigheter, slik som departementer. Det utelukker for eksempel at regionale og kommunale organer på egenhånd kan bruke slike tjenester. Du finner mer om dette i kapittelet om identifisering av behandlingsgrunnlag og vilkår. 

Ekomloven, teleoperatørenes plikter og forholdet til myndigheter

Tjenester for lokasjonsbasert befolkningsvarsling via SMS i Norge tilbys i dag som hovedregel til offentlige myndigheter av kommersielle selskap.

Disse kommersielle selskapene har igjen avtale med teleoperatørene Telenor, Telia og ICE, som behandler lokaliseringsdata om sine respektive kunder. Tjenester for lokasjonsbasert befolkningsvarsling via SMS kan også tilbys direkte til statlige myndigheter av teleoperatørene.

Teleoperatørenes behandling av lokaliseringsdata er spesialregulert i lov om elektronisk kommunikasjon (ekomloven), som Nasjonal kommunikasjonsmyndighet fører tilsyn med. Kommunikasjonsvernreglene i ekomloven pålegger blant annet teletilbyderne taushetsplikt om lokaliseringsdata, og setter klare begrensninger på hvilke situasjoner hvor lokaliseringsdata kan behandles.

En utvelgelse av personer som befinner seg i et bestemt område, i den hensikt å sende en melding til dem med myndighetene som avsender, går som hovedregel lenger enn den behandlingen som er nødvendig for teleoperatørenes kommunikasjons- eller faktureringsformål.

Dette konkluderte også en arbeidsgruppe ledet av Direktoratet for samfunnssikkerhet og beredskap (DSB) med i 2011. En slik behandling av lokaliseringsdata av teleoperatørene krever derfor normalt samtykke fra mottakeren eller hjemmel i lov. Det finnes en slik hjemmel i ekomloven § 2-10, som pålegger teleoperatørene å formidle viktig melding fra statsmyndighet. Resten av denne veiledningen handler om befolkningsvarsling basert på formidlingsplikten i ekomloven § 2-10.

Løsninger for lokasjonsbasert befolkningsvarsling på SMS som ikke har hjemmel i lov, må baseres på abonnentens forutgående samtykke.

Hvordan tjenestene fungerer

For å tilrettelegge for formidling av viktige meldinger fra statsmyndigheter, har teleoperatørene utviklet løsninger hvor statsmyndigheter kan velge at meldinger kun skal sendes til personer innenfor et begrenset geografisk område.

I våre undersøkelser har vi bedt om informasjon fra de involverte aktørene om hvordan personopplysninger behandles i forbindelse med lokasjonsbasert befolkningsvarsling.

Etter at statsmyndigheten har definert det geografiske området og utformet meldingen som skal sendes, velger deretter teleoperatøren ut mottakerne basert på lokaliseringsdata som samsvarer med det geografiske området som myndighetene har bestemt. Teleoperatøren formidler deretter den aktuelle meldingen fra statsmyndigheten på SMS til mottakerne. Statsmyndighetene kan også få en aggregert telling på hvor mange som befinner seg i et aktuelt geografisk område.

Det legges også til rette for at statsmyndighetene kan velge ut geografiske områder hvor alle som beveger seg inn i eller ut av dette området mottar en spesifikk melding på SMS – for eksempel dersom personen kjører inn i en kommune eller drar ut av Norge.

Telia og Telenor har informert Datatilsynet om at verken statsmyndigheten som sender meldingen -eller selskapene som tilbyr tjenester for lokasjonsbasert befolkningsvarsling på SMS -  får tilgang til identifiserende opplysninger om mottakerne på noe tidspunkt. De mottar kun en oversikt over hvor mange meldinger som har blitt sendt ut.

Myndighetenes ansvar etter personvernregelverket

Den behandlingsansvarlige er den som alene eller sammen med andre bestemmer formålene og midlene med behandlingen av personopplysninger – altså hvorfor og hvordan personopplysninger behandles.

Normalt vil en teleoperatør alene være behandlingsansvarlig for den behandlingen av personopplysninger som er nødvendig for å overføre kommunikasjon i deres nett. Lokasjonsbasert SMS-varsling er imidlertid et spesialtilfelle, hvor den aktuelle behandlingen av personopplysninger normalt ikke er lovlig å gjennomføre uten at en statsmyndighet ber teleoperatørene formidle en viktig melding fra dem i tråd med hjemmelen i ekomloven § 2-10.

Den geografiske utvelgelsen av mottakere som skjer i forbindelse med lokasjonsbasert befolkningsvarsling ville derfor ikke vært mulig uten deltakelsen til både statsmyndigheten og teleoperatøren. Myndighetens bidrag og beslutninger i forbindelse med den geografiske utvelgelsen henger derfor uløselig sammen.

Selv om statsmyndigheten som står som avsender av meldingen ikke har tilgang til noen personopplysninger om mottakerne, er ikke dette til hinder for behandlingsansvar etter personvernforordningen.

Datatilsynets syn er derfor at statsmyndigheter som benytter lokasjonsbasert befolkningsvarsling på SMS vil ha et behandlingsansvar, og som regel et såkalt felles behandlingsansvar sammen med teleoperatørene, for den geografiske utvelgelsen av mottakere som skjer i forbindelse med lokasjonsbasert befolkningsvarsling. Statsmyndigheten har derfor et ansvar for å sikre at kravene i personvernforordningen etterleves ved bruk av lokasjonsbasert befolkningsvarsling.

Identifisering av behandlingsgrunnlag og vilkår

All behandling av personopplysninger må ha et behandlingsgrunnlag for å være lovlig. Statsmyndigheten må derfor identifisere et behandlingsgrunnlag før det sendes ut SMS gjennom lokasjonsbasert befolkningsvarsling.

Vi har en side med oversikt over de forskjellige behandlingsgrunnlagene i personvernforordningen og en utvidet veileder med mer informasjon om hvert enkelt behandlingsgrunnlag på våre nettsider. 

Normalt vil det aktuelle behandlingsgrunnlaget for statsmyndigheten være dersom «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse», eller dersom behandlingen er «nødvendig for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt». I begge tilfellene må behandlingen også ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

Dersom det er akutt fare for personers liv og helse, kan myndigheten også vurdere om behandlingen av personopplysninger er «nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser». Dette behandlingsgrunnlaget bør bare vurderes dersom det er klart at behandlingen ikke kan baseres på et annet behandlingsgrunnlag.

Myndigheten må også vurdere om vilkårene i ekomloven § 2-10 er oppfylt for å utløse teletilbydernes plikt til å formidle meldingen, altså om det er tale om en "viktig melding fra statsmyndighet". Nedenfor skal vi forklare hva som ligger i disse vilkårene:

  1. At meldingen må være viktig, innebærer en klar terskel for å ta i bruk lokasjonsbasert befolkningsvarsling. Melding må være av vesentlig betydning for å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til betydelig skade eller tap av verdier, eller fare for liv og helse. I dette ligger at det må foreligge et akutt behov for informasjonsspredning og at varslingen må nå ut til mange personer så raskt som mulig. Det kan foreligge både behov for landsdekkende eller større regional varsling og mindre regionalt eller lokalt behov. Sistnevnte vil for eksempel være typisk ved akutt fare for ras eller brann i et mindre geografisk område. Det er den enkelte statsmyndigheten som har ansvaret for å vurdere hva som er en viktig melding, og ikke teletilbyderen.
  2. At meldingen må være fra en statsmyndighet, innebærer at det er en statlig myndighet som må treffe beslutningen om at varsling skal skje. Statsmyndighet inkluderer departementer og underliggende etater, og dette utelukker for eksempel at regionale og kommunale organer som fylkeskommuner og kommuner alene treffer beslutningen om lokasjonsbasert befolkningsvarsel på SMS. Det kan imidlertid tenkes at ulike instanser er involvert i formidlingen av viktig melding. I rapporten fra arbeidsgruppen ledet av DSB brukes det et eksempel hvor en kommune eller en bedrift er den som kjenner faren best og derfor utformer meldingen, mens et eksternt varslingsselskap kan stå for selve utsendelsen, og at politiet er organet som til slutt treffer beslutningen om at varsling skal skje.

Øvrige plikter etter personvernforordningen

Ved felles behandlingsansvar vil statsmyndigheten og andre behandlingsansvarlige på en åpen måte fastsette mellom seg hvordan ansvaret skal fordeles for å overholde alle forpliktelsene i personvernregelverket.

Det vesentligste i denne ordningen skal være tilgjengelig for de registrerte. Les mer om felles behandlingsansvar på våre nettsider.

En offentlig myndighet som benytter lokasjonsbasert befolkningsvarsling, plikter å gi informasjon om behandlingen av personopplysninger på en kortfattet, åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk. Et eksempel på hvordan man kan gjøre dette er å henvise til informasjon om behandling av personopplysninger på myndighetens nettside i varselet som sendes ut.

Siden statsmyndigheten verken har eller kan få tilgang til personopplysninger om mottakerne, vil det som utgangspunkt ikke være mulig for den offentlige myndigheten selv å etterkomme henvendelser hvor de registrerte bruker sine rettigheter. Det er derfor viktig at den offentlige myndigheten tydelig henviser de registrerte til å ta kontakt med teleoperatøren sin for slike henvendelser.

Nye regler på vei

Det er vedtatt nye regler i EU som pålegger alle land å ha et system for mobilbasert befolkningsvarsling. 

Reglene om mobilbasert befolkningsvarsling i artikkel 110 i den nye ekomkodeksen (Direktiv 2018/1972/EF) skal implementeres i Norge, og Datatilsynet gav høsten 2021 innspill i høringsprosessen (regjeringen.no) for å bidra til at konsekvensene for personvernet blir utredet og vurdert. DSB og Politidirektoratet har fått oppdrag av Justis- og beredskapsdepartementet om å etablere en slik løsning for mobilbasert befolkningsvarsling i Norge. Vi vil følge denne prosessen videre.