Retningslinjer for bruk av WiFi- og Bluetooth-sporing

Vi har utformet noen retningslinjer for bruk av denne teknologien:

  1. WiFi- og Bluetooth-sporing kan finne sted dersom det innhentes et gyldig samtykke fra personene som blir sporet. Kortvarig telling kan finne sted uten samtykke dersom tiltaket er nødvendig for å vareta en berettiget interesse som veier tyngre enn den enkeltes personvern. Dette innebærer at man må vurdere om det er mulig å oppnå formålet med mindre inngripende tiltak, for eksempel ved sensorer som ikke samler inn personopplysninger.
  2. Kobling av WiFi- og Bluetooth-sporing med e-postadresse, kundekonto, Facebook-profil eller lignende kan kun finne sted dersom det innhentes samtykke fra de som blir sporet.
  3. Sporing av personer over tid kan kun finne sted dersom det innhentes samtykke fra personene som blir sporet.
  4. Formålet med sporingen må være klart definert. Tiltaket kan bare brukes i tråd med dette formålet, og personopplysninger som samles inn kan ikke brukes til andre formål senere.
  5. Man kan ikke samle inn flere personopplysninger enn det som er nødvendig og relevant for formålet.
  6. Unngå å bruke sporingsteknologi på steder som kan fortelle noe om personers helsetilstand, religiøse tro, politiske synspunkter eller seksuelle legning.
  7. Virksomheten må iverksette sikkerhetstiltak for å beskytte personopplysningene slik at de ikke kommer på avveier.
  8. Det skal informeres om at det foregår sporing, for eksempel ved skilting. Skiltet kan for eksempel inneholde den viktigste informasjonen i et første lag og forklare hvor mer utførlig informasjon er tilgjengelig. Les mer om informasjonsplikten og hva man må informere om
  9. Virksomheten må ha klare rutiner for hvor lenge MAC-adresser skal lagres. MAC-adressene skal slettes så raskt som mulig slik at det ikke er mulig å koble opplysningene tilbake til individer. I mellomtiden skal sikkerheten ivaretas på en tilstrekkelig måte ved at MAC-adressene pseudonymiseres. 
  10. Den som blir sporet har flere rettigheter. Ha rutiner for hvordan virksomheten svarer på og håndterer henvendelser om den enkeltes rettigheter innen tidsfristen.
  11. Ved bruk av sporingsteknologier kan det være påbudt å utføre en vurdering av personvernkonsekvenser. Dette gjelder særlig ved overvåking på offentlig sted.
  12. Ved monitorering av personer må virksomheten i visse tilfeller ha et personvernombud.
  13. Husk også andre evetuelle plikter slik som innebygd personvern, å føre protokoll, databehandleravtaler og reglene om overføring av personopplysninger til tredjeland.
23