Lokasjonsbasert SMS-varsling kan som hovedregel kun bestemmes/ igangsettes av statlige myndigheter, slik som departementer. Det finnes imidlertid unntak for kommuner. Les mer om dette i kapittelet om identifisering av behandlingsgrunnlag og vilkår. 

Da vi utarbeidet denne veiledningen, var det med bakgrunn i at slik varsling ble tatt i bruk i nye sammenhenger under pandemien, og vi mottok flere henvendelser og klager om disse tjenestene. Flere pekte på uklarheter rundt reglene for å bruke tjenestene. Vi så derfor nærmere på disse varslingstjenestene for å få klarhet i hvordan de behandler personopplysninger, og for å finne ut hvordan ansvaret skal fordeles mellom de involverte partene. Veiledningen er derfor blant annet basert på undersøkelsene vi gjorde av disse tjenestene i 2020, og den ble sendt på høring til Nasjonal kommunikasjonsmyndighet, Direktoratet for samfunnssikkerhet- og beredskap, Kommunal- og distriktsdepartementet, teleoperatørene og leverandøren før den ble publisert.

Tjenester for lokasjonsbasert befolkningsvarsling via SMS i Norge, tilbys i dag som hovedregel til offentlige myndigheter av kommersielle selskap. De kommersielle selskapene har igjen avtaler med teleoperatørene (Telenor, Telia og ICE). De behandler lokaliseringsdata om sine respektive kunder. Tjenester for lokasjonsbasert befolkningsvarsling via SMS kan også tilbys av teleoperatørene direkte til statlige myndigheter.

Kommunikasjonsvernreglene i ekomloven pålegger blant annet teleoperatørene taushetsplikt om lokaliseringsdata, og de setter klare begrensninger når det gjelder hvilke situasjoner lokaliseringsdata kan behandles.

En utvelgelse av personer som befinner seg i et bestemt område, i den hensikt å sende en melding til dem med myndighetene som avsender, går som hovedregel lenger enn den behandlingen som er nødvendig for teleoperatørenes kommunikasjons- eller faktureringsformål. Dette konkluderte også en arbeidsgruppe ledet av Direktoratet for samfunnssikkerhet og beredskap (DSB) med i 2011.

En slik behandling av lokaliseringsdata av teleoperatørene, krever derfor normalt samtykke fra mottakeren eller hjemmel i lov. Det finnes en hjemmel i ekomloven § 2-10 som pålegger teleoperatørene å formidle viktige meldinger fra statsmyndigheter. Denne veiledningen handler om befolkningsvarsling basert på denne formidlingsplikten.

Løsninger for lokasjonsbasert befolkningsvarsling på SMS som ikke har hjemmel i lov, må baseres på et samtykke gitt på forhånd av abonnenten.
Les om samtykke som behandlingsgrunnlag.

Etter at statsmyndigheten har definert det geografiske området og utformet meldingen som skal sendes, velger teleoperatøren ut mottakerne basert på lokaliseringsdata som samsvarer med det geografiske området som myndighetene har bestemt. Teleoperatøren formidler deretter den aktuelle meldingen fra statsmyndigheten på SMS til mottakerne. Statsmyndigheten kan også få en aggregert telling på hvor mange som befinner seg i et aktuelt geografisk område.

Det legges også til rette for at statsmyndighetene kan velge ut geografiske områder hvor alle som beveger seg inn i eller ut av dette området mottar en spesifikk melding på SMS – for eksempel dersom personen kjører inn i en kommune eller drar ut av Norge.

Telia og Telenor har informert Datatilsynet om at verken myndigheten som sender meldingen, eller selskapene som tilbyr tjenester for lokasjonsbasert befolkningsvarsling på SMS, får tilgang til identifiserende opplysninger om mottakerne på noe tidspunkt. De mottar kun en oversikt over hvor mange meldinger som har blitt sendt ut.

Normalt vil en teleoperatør alene være behandlingsansvarlig for den behandlingen av personopplysninger som er nødvendig for å overføre kommunikasjon i deres nett. Lokasjonsbasert SMS-varsling er imidlertid et spesialtilfelle, der den aktuelle behandlingen av personopplysninger normalt ikke er lovlig å gjennomføre uten at en statsmyndighet ber teleoperatørene formidle en viktig melding fra dem (i tråd med hjemmelen i ekomloven § 2-10).

Den geografiske utvelgelsen av mottakere som skjer i forbindelse med lokasjonsbasert befolkningsvarsling, ville derfor ikke vært mulig uten deltakelsen til både statsmyndigheten og teleoperatøren. Myndighetens bidrag og beslutninger i forbindelse med den geografiske utvelgelsen henger derfor uløselig sammen.

Selv om statsmyndigheten som står som avsender av meldingen ikke har tilgang til noen personopplysninger om mottakerne, er Datatilsynets syn at myndigheter som benytter lokasjonsbasert befolkningsvarsling på SMS, vil ha et behandlingsansvar. De vil også som regel få et såkalt felles behandlingsansvar sammen med teleoperatørene for den geografiske utvelgelsen av mottakere som skjer i forbindelse med varslingen. Statsmyndigheten har derfor et ansvar for å sikre at kravene i personvernforordningen etterleves ved bruk av lokasjonsbasert befolkningsvarsling.

Les om de forskjellige behandlingsgrunnlagene etter personvernforordningen.

Normalt vil det aktuelle behandlingsgrunnlaget for statsmyndigheten være dersom "behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse", eller dersom behandlingen er "nødvendig for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt". I begge tilfellene må behandlingen også ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

Dersom det er akutt fare for personers liv og helse, kan myndigheten også vurdere om behandlingen av personopplysninger er «nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser». Dette behandlingsgrunnlaget bør bare vurderes dersom det er klart at behandlingen ikke kan baseres på et annet behandlingsgrunnlag.

Hva ligger i "viktig melding fra statsmyndighet?

Myndigheten må også vurdere om vilkårene i ekomloven § 2-10 er oppfylt for å utløse teletilbydernes plikt til å formidle meldingen, altså om det er tale om en "viktig melding fra statsmyndighet":

1. At meldingen må være viktig, innebærer en klar terskel for å ta i bruk lokasjonsbasert befolkningsvarsling. Meldingen må være av vesentlig betydning for å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til betydelig skade eller tap av verdier, eller fare for liv og helse. I dette ligger at det må foreligge et akutt behov for informasjonsspredning og at varslingen må nå ut til mange personer så raskt som mulig. Det kan foreligge både behov for landsdekkende eller større regional varsling og mindre regionalt eller lokalt behov. Sistnevnte vil for eksempel være typisk ved akutt fare for ras eller brann i et mindre geografisk område. Det er den enkelte statsmyndigheten som har ansvaret for å vurdere hva som er en viktig melding, og ikke teletilbyderen.
2. At meldingen må være fra en statsmyndighet, innebærer at det i utgangspunktet er en statlig myndighet som må treffe beslutningen om at varsling skal skje. Statsmyndighet inkluderer departementer og underliggende etater, og dette vil normalt utelukke at for eksempel regionale og kommunale organer som fylkeskommuner og kommuner alene treffer beslutningen om lokasjonsbasert befolkningsvarsel på SMS (se likevel unntak fra dette nederst på siden). Det kan imidlertid tenkes at ulike instanser er involvert i formidlingen av viktig melding. I rapporten fra arbeidsgruppen ledet av DSB, brukes det et eksempel hvor en kommune eller en bedrift er den som kjenner faren best og derfor utformer meldingen, mens et eksternt varslingsselskap kan stå for selve utsendelsen, og at politiet er organet som til slutt treffer beslutningen om at varsling skal skje.

Det vesentligste i denne ordningen skal være tilgjengelig for de registrerte. Les mer om felles behandlingsansvar.

En offentlig myndighet som benytter lokasjonsbasert befolkningsvarsling, har plikt til å gi informasjon om behandlingen av personopplysninger på en kortfattet, åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk. Et eksempel på hvordan det kan gjøres er å henvise til informasjon om behandling av personopplysninger på myndighetens nettside i varselet som sendes ut.

Siden statsmyndigheten verken har eller kan få tilgang til personopplysninger om mottakerne, vil det i utgangspunktet ikke være mulig for den offentlige myndigheten selv å etterkomme henvendelser hvor de registrerte vil benytte rettighetene sine slik som innsyn eller lignende. Det er derfor viktig at den offentlige myndigheten tydelig henviser de registrerte til å ta kontakt med teleoperatøren sin for slike henvendelser.

Reglene om mobilbasert befolkningsvarsling i artikkel 110 i den nye ekomkodeksen (Direktiv 2018/1972/EF) skal implementeres i Norge, og Datatilsynet ga høsten 2021 innspill i høringsprosessen (regjeringen.no) for å bidra til at konsekvensene for personvernet blir utredet og vurdert. 

DSB og Politidirektoratet har fått oppdrag av Justis- og beredskapsdepartementet om å etablere en slik løsning for mobilbasert befolkningsvarsling i Norge. Vi vil følge denne prosessen videre.