Håndtering av personvernutfordringer innenfor delingsøkonomi og mobilitet

| Innsikt

Delingsøkonomien har vært med på å løse en del hverdagsutfordringer for deg og meg. For eksempel har den forenklet og kostnadsredusert vår mobilitet, ved å gi oss muligheten til å dele biler, sykler og el-sparkesykler når vi skal flytte oss fra ett sted til et annet. Ved hjelp av en app på telefonen kan vi enkelt låne noen andres bil når vi skal på fjelltur, eller booke en sykkel eller el-sparkesykkel for å komme oss til jobb på morgenen.

Det er imidlertid viktig å være oppmerksom på de utfordringer som følger av at delingsøkonomien ofte forutsetter utveksling av personopplysninger i digitale kanaler. Når tilstrekkelig mange mennesker benytter tjenestene fra aktører innenfor mobilitet, slik som Nabobil, Oslo Bysykkel, Voi og Tier, er det klart at disse aktørene etter hvert sitter på store mengder data om sine brukere.

Dersom du skal benytte deg av de overnevnte tjenestene må du, etter å ha lastet ned appen, registrere blant annet kontakt- og kortinformasjon. I mange tilfeller vil applikasjonen også registrere hvor du beveger deg samt hvor lang tid reisen din har tatt. Dette reiser åpenbart personvernrettslige spørsmål, især knyttet til lovlige bruksformål, rettslig grunnlag, sikkerhet og lagring.

Som tilbyder av applikasjoner innenfor mobilitetsektoren er det dermed viktig å orientere seg i og være klar over de rammene personvernregelverket stiller for tjenesten. Det er selvsagt også en rekke andre regelverk å forholde seg til, slik som forbrukerlovgivning og markedsføringsrett. Nedenfor følger imidlertid noen sentrale forhold som en tilbyder bør tenke på fra et personvernperspektiv når den leverer mobilitetstjenester til markedet gjennom applikasjoner:

  • Innebygget personvern: personvernregelverket krever at løsningene designes slik at omfanget av personopplysninger begrenses til det som er nødvendig for å levere tjenestene.
  • Informasjon: etter personvernregelverket gjelder det en informasjonsplikt. Brukeren må ha mulighet til å skaffe seg tilstrekkelig informasjon om tjenesten og behandlingen av personopplysninger før bruken starter, samt akseptere lettfattelige og forståelige brukervilkår
  • Formålsangivelse: en tilbyder bør gjøre seg opp en mening om hva opplysningene som samles inn ved hjelp av løsningen skal brukes til (formålet med behandlingen). Personvernregelverket oppstiller klare krav til å angi formålet på en konkret og klar måte, samtidig som det er forbud mot å benytte opplysningene for andre og uforenelige formål. Ved å ha en klar formening om bruken fra start, sikrer tilbyder anledning til å bruke opplysningene på ønsket måte samtidig som behandlingen blir åpen og gjennomsiktig for brukeren.
  • Rettslig grunnlag: dersom behandlingen som utføres ikke baserer seg på et avtalegrunnlag, vil tjenestene som leveres i stor grad måtte være samtykkebasert. Personvernregelverket setter bl.a. strenge krav til det samtykket som normalt må innhentes fra brukeren (den registrerte), som grunnlag for innhenting, bruk og utlevering av personopplysningene. I tillegg skal dette dokumenteres på riktig måte hos tilbyderen.
  • Sikkerhet: personvernregelverket oppstiller klare krav til sikkerhet i løsningen som tilbys. Brukerens personopplysninger må håndteres på en tilfredsstillende og sikker måte. Dette gjelder både angående hvem som har tilgang til opplysningene hos tilbyderen selv, men også at opplysningene ikke skal havne hos uvedkommende, for eksempel ved utlevering eller hacking

De overnevnte punktene vil også være forhold som dagens forbrukere i større grad forventer at en tilbyder har på plass før tjenesten gjøres tilgjengelig i markedet.