Datatilsynet har registrert at offentlige myndigheter i økende grad har tatt i bruk tjenester for lokasjonsbasert SMS-varsling siden begynnelsen av pandemien i 2020. Vi har derfor gjort nærmere undersøkelser av disse varslingstjenestene for å få klarhet i hvordan de behandler personopplysninger, og for å finne ut hvordan ansvaret skal fordeles mellom de involverte partene. 

Hensikten med disse undersøkelsene er å sikre at personvernregelverket og de registrertes rettigheter ivaretas.

Lokasjonsbasert SMS-varsling kan som hovedregel kun bestemmes/ igangsettes av statlige myndigheter, slik som departementer. Det finnes imidlertid unntak. Les mer om dette i kapittelet om identifisering av behandlingsgrunnlag og vilkår. 

Tjenester for lokasjonsbasert befolkningsvarsling via SMS i Norge tilbys i dag som hovedregel til offentlige myndigheter av kommersielle selskap. De kommersielle selskapene har igjen avtaler med teleoperatørene Telenor, Telia og ICE, som behandler lokaliseringsdata om sine respektive kunder. Tjenester for lokasjonsbasert befolkningsvarsling via SMS kan også tilbys av teleoperatørene direkte til statlige myndigheter.

Teleoperatørenes behandling av lokaliseringsdata er spesialregulert i lov om elektronisk kommunikasjon (ekomloven) som Nasjonal kommunikasjonsmyndighet fører tilsyn med. Kommunikasjonsvernreglene i ekomloven pålegger blant annet teletilbyderne taushetsplikt om lokaliseringsdata, og de setter klare begrensninger på hvilke situasjoner hvor lokaliseringsdata kan behandles.

En utvelgelse av personer som befinner seg i et bestemt område, i den hensikt å sende en melding til dem med myndighetene som avsender, går som hovedregel lenger enn den behandlingen som er nødvendig for teleoperatørenes kommunikasjons- eller faktureringsformål. Dette konkluderte også en arbeidsgruppe ledet av Direktoratet for samfunnssikkerhet og beredskap (DSB) med i 2011.

En slik behandling av lokaliseringsdata av teleoperatørene, krever derfor normalt samtykke fra mottakeren eller hjemmel i lov. Det finnes en hjemmel i ekomloven § 2-10 som pålegger teleoperatørene å formidle viktig melding fra statsmyndighet. Resten av denne veiledningen handler om befolkningsvarsling basert på denne formidlingsplikten.

Løsninger for lokasjonsbasert befolkningsvarsling på SMS som ikke har hjemmel i lov, må baseres på et samtykke gitt på forhånd av abonnenten.

Les om samtykke som behandlingsgrunnlag.

Etter at statsmyndigheten har definert det geografiske området og utformet meldingen som skal sendes, velger teleoperatøren ut mottakerne basert på lokaliseringsdata som samsvarer med det geografiske området som myndighetene har bestemt. Teleoperatøren formidler deretter den aktuelle meldingen fra statsmyndigheten på SMS til mottakerne. Statsmyndighetene kan også få en aggregert telling på hvor mange som befinner seg i et aktuelt geografisk område.

Det legges også til rette for at statsmyndighetene kan velge ut geografiske områder hvor alle som beveger seg inn i eller ut av dette området mottar en spesifikk melding på SMS – for eksempel dersom personen kjører inn i en kommune eller drar ut av Norge.

Telia og Telenor har informert Datatilsynet om at verken statsmyndigheten som sender meldingen, eller selskapene som tilbyr tjenester for lokasjonsbasert befolkningsvarsling på SMS, får tilgang til identifiserende opplysninger om mottakerne på noe tidspunkt. De mottar kun en oversikt over hvor mange meldinger som har blitt sendt ut.

Les mer om hva en behandlingsansvarlig er

Normalt vil en teleoperatør alene være behandlingsansvarlig for den behandlingen av personopplysninger som er nødvendig for å overføre kommunikasjon i deres nett. Lokasjonsbasert SMS-varsling er imidlertid et spesialtilfelle, hvor den aktuelle behandlingen av personopplysninger normalt ikke er lovlig å gjennomføre uten at en statsmyndighet ber teleoperatørene formidle en viktig melding fra dem (i tråd med hjemmelen i ekomloven § 2-10).

Den geografiske utvelgelsen av mottakere som skjer i forbindelse med lokasjonsbasert befolkningsvarsling, ville derfor ikke vært mulig uten deltakelsen til både statsmyndigheten og teleoperatøren. Myndighetens bidrag og beslutninger i forbindelse med den geografiske utvelgelsen henger derfor uløselig sammen.

Selv om statsmyndigheten som står som avsender av meldingen ikke har tilgang til noen personopplysninger om mottakerne, er ikke dette til hinder for behandlingsansvar etter personvernforordningen.

Datatilsynets syn er derfor at statsmyndigheter som benytter lokasjonsbasert befolkningsvarsling på SMS, vil ha et behandlingsansvar. De vil også som regel få et såkalt felles behandlingsansvar sammen med teleoperatørene for den geografiske utvelgelsen av mottakere som skjer i forbindelse med varslingen. Statsmyndigheten har derfor et ansvar for å sikre at kravene i personvernforordningen etterleves ved bruk av lokasjonsbasert befolkningsvarsling.

Les også:

• Oversikt over de forskjellige behandlingsgrunnlagene i personvernforordningen. 
• Veiledning med mer informasjon om hvert enkelt behandlingsgrunnlag. 

Normalt vil det aktuelle behandlingsgrunnlaget for statsmyndigheten være dersom «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse», eller dersom behandlingen er «nødvendig for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt». I begge tilfellene må behandlingen også ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

Dersom det er akutt fare for personers liv og helse, kan myndigheten også vurdere om behandlingen av personopplysninger er «nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser». Dette behandlingsgrunnlaget bør bare vurderes dersom det er klart at behandlingen ikke kan baseres på et annet behandlingsgrunnlag.

Myndigheten må også vurdere om vilkårene i ekomloven § 2-10 er oppfylt for å utløse teletilbydernes plikt til å formidle meldingen, altså om det er tale om en "viktig melding fra statsmyndighet". Nedenfor skal vi forklare hva som ligger i disse vilkårene:

1. At meldingen må være viktig, innebærer en klar terskel for å ta i bruk lokasjonsbasert befolkningsvarsling. Meldingen må være av vesentlig betydning for å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til betydelig skade eller tap av verdier, eller fare for liv og helse. I dette ligger at det må foreligge et akutt behov for informasjonsspredning og at varslingen må nå ut til mange personer så raskt som mulig. Det kan foreligge både behov for landsdekkende eller større regional varsling og mindre regionalt eller lokalt behov. Sistnevnte vil for eksempel være typisk ved akutt fare for ras eller brann i et mindre geografisk område. Det er den enkelte statsmyndigheten som har ansvaret for å vurdere hva som er en viktig melding, og ikke teletilbyderen.
2. At meldingen må være fra en statsmyndighet, innebærer at det er en statlig myndighet som må treffe beslutningen om at varsling skal skje. Statsmyndighet inkluderer departementer og underliggende etater, og dette utelukker for eksempel at regionale og kommunale organer som fylkeskommuner og kommuner alene treffer beslutningen om lokasjonsbasert befolkningsvarsel på SMS. Det kan imidlertid tenkes at ulike instanser er involvert i formidlingen av viktig melding. I rapporten fra arbeidsgruppen ledet av DSB, brukes det et eksempel hvor en kommune eller en bedrift er den som kjenner faren best og derfor utformer meldingen, mens et eksternt varslingsselskap kan stå for selve utsendelsen, og at politiet er organet som til slutt treffer beslutningen om at varsling skal skje.

Det vesentligste i denne ordningen skal være tilgjengelig for de registrerte. Les mer om felles behandlingsansvar.

En offentlig myndighet som benytter lokasjonsbasert befolkningsvarsling, har plikt til å gi informasjon om behandlingen av personopplysninger på en kortfattet, åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk. Et eksempel på hvordan det kan gjøres er å henvise til informasjon om behandling av personopplysninger på myndighetens nettside i varselet som sendes ut.

Siden statsmyndigheten verken har eller kan få tilgang til personopplysninger om mottakerne, vil det i utgangspunktet ikke være mulig for den offentlige myndigheten selv å etterkomme henvendelser hvor de registrerte vil benytte rettighetene sine slik som innsyn eller lignende. Det er derfor viktig at den offentlige myndigheten tydelig henviser de registrerte til å ta kontakt med teleoperatøren sin for slike henvendelser.

Reglene om mobilbasert befolkningsvarsling i artikkel 110 i den nye ekomkodeksen (Direktiv 2018/1972/EF) skal implementeres i Norge, og Datatilsynet ga høsten 2021 innspill i høringsprosessen (regjeringen.no) for å bidra til at konsekvensene for personvernet blir utredet og vurdert. 

DSB og Politidirektoratet har fått oppdrag av Justis- og beredskapsdepartementet om å etablere en slik løsning for mobilbasert befolkningsvarsling i Norge. Vi vil følge denne prosessen videre.