Retningslinjer for bruk av WiFi- og Bluetooth-sporing
Vi har utformet noen retningslinjer for bruk av denne teknologien:
- WiFi- og Bluetooth-sporing kan finne sted dersom det innhentes et gyldig samtykke fra personene som blir sporet. Kortvarig telling kan finne sted uten samtykke dersom tiltaket er nødvendig for å vareta en berettiget interesse som veier tyngre enn den enkeltes personvern. Dette innebærer at man må vurdere om det er mulig å oppnå formålet med mindre inngripende tiltak, for eksempel ved sensorer som ikke samler inn personopplysninger.
- Kobling av WiFi- og Bluetooth-sporing med e-postadresse, kundekonto, Facebook-profil eller lignende kan kun finne sted dersom det innhentes samtykke fra de som blir sporet.
- Sporing av personer over tid kan kun finne sted dersom det innhentes samtykke fra personene som blir sporet.
- Formålet med sporingen må være klart definert. Tiltaket kan bare brukes i tråd med dette formålet, og personopplysninger som samles inn kan ikke brukes til andre formål senere.
- Man kan ikke samle inn flere personopplysninger enn det som er nødvendig og relevant for formålet.
- Unngå å bruke sporingsteknologi på steder som kan fortelle noe om personers helsetilstand, religiøse tro, politiske synspunkter eller seksuelle legning.
- Virksomheten må iverksette sikkerhetstiltak for å beskytte personopplysningene slik at de ikke kommer på avveier.
- Det skal informeres om at det foregår sporing, for eksempel ved skilting. Skiltet kan for eksempel inneholde den viktigste informasjonen i et første lag og forklare hvor mer utførlig informasjon er tilgjengelig. Les mer om informasjonsplikten og hva man må informere om
- Virksomheten må ha klare rutiner for hvor lenge MAC-adresser skal lagres. MAC-adressene skal slettes så raskt som mulig slik at det ikke er mulig å koble opplysningene tilbake til individer. I mellomtiden skal sikkerheten ivaretas på en tilstrekkelig måte ved at MAC-adressene pseudonymiseres.
- Den som blir sporet har flere rettigheter. Ha rutiner for hvordan virksomheten svarer på og håndterer henvendelser om den enkeltes rettigheter innen tidsfristen.
- Ved bruk av sporingsteknologier kan det være påbudt å utføre en vurdering av personvernkonsekvenser. Dette gjelder særlig ved overvåking på offentlig sted.
- Ved monitorering av personer må virksomheten i visse tilfeller ha et personvernombud.
- Husk også andre evetuelle plikter slik som innebygd personvern, å føre protokoll, databehandleravtaler og reglene om overføring av personopplysninger til tredjeland.