Retningslinjer for bruk av WiFi- og Bluetooth-sporing

Vi har utformet noen retningslinjer for bruk av denne teknologien:

  1. WiFi- og Bluetooth-sporing kan finne sted dersom det innhentes et gyldig samtykke fra personene som blir sporet. Kortvarig telling kan finne sted uten samtykke dersom tiltaket er nødvendig for å vareta en berettiget interesse som veier tyngre enn den enkeltes personvern. Dette innebærer at man må vurdere om det er mulig å oppnå formålet med mindre inngripende tiltak, for eksempel ved sensorer som ikke samler inn personopplysninger.
  2. Kobling av WiFi- og Bluetooth-sporing med e-postadresse, kundekonto, Facebook-profil eller lignende kan kun finne sted dersom det innhentes samtykke fra de som blir sporet.
  3. Sporing av personer over tid kan kun finne sted dersom det innhentes samtykke fra personene som blir sporet.
  4. Formålet med sporingen må være klart definert. Tiltaket kan bare brukes i tråd med dette formålet, og personopplysninger som samles inn kan ikke brukes til andre formål senere.
  5. Man kan ikke samle inn flere personopplysninger enn det som er nødvendig og relevant for formålet.
  6. Unngå å bruke sporingsteknologi på steder som kan fortelle noe om personers helsetilstand, religiøse tro, politiske synspunkter eller seksuelle legning.
  7. Virksomheten må iverksette sikkerhetstiltak for å beskytte personopplysningene slik at de ikke kommer på avveier.
  8. Det skal informeres om at det foregår sporing, for eksempel ved skilting eller annen tydelig informasjon. Det skal fremgå av informasjonen hva slags sporing som foregår og hva formålet er, for eksempel utarbeidelse av kundestatistikk. Det skal også stå hvem som er behandlingsansvarlig med kontaktinformasjon. Dersom virksomheten har en personvernerklæring, skal informasjonen også fremgå der.
  9. Virksomheten må ha klare rutiner for hvor lenge MAC-adresser skal lagres. MAC-adressene skal slettes så raskt som mulig slik at det ikke er mulig å koble opplysningene tilbake til individer. I mellomtiden skal sikkerheten ivaretas på en tilstrekkelig måte ved at MAC-adressene pseudonymiseres. 
  10. Tiltaket skal meldes til Datatilsynet.