Mange apper samler inn lokasjonsdata fra brukerne. Enkelte selskaper selger disse videre, slik at databasene kan kommersialiseres i for eksempel forbrukeratferdsanalyse.
Dataene selges anonymisert, men for halvannet gjennomgikk New York Times et slikt datasett. I reportasjen viste avisen hvordan man ganske enkelt kan finne ut hvem som eier en bestemt telefon. Dette fordi telefonens bevegelser raskt vil avsløre hvor en person bor og jobber.
Se New York Times reportasje her
I fjor lagde så svenske Dagens Nyheter en tilsvarende artikkel om svenske lokasjonsdata, og nå har NRK gjentatt eksperimentet, denne gangen med norske data. Databasen kjøpte de fra et selskap i Storbritannia. Og som i USA og Sverige, viste det seg fullt mulig å av-anonymisere enkelttelefoner, ved å benytte kartreferansene i datasettet.
For 35.000 kroner fikk NRK kjøpt posisjonsdata fra over 140.000 unike mobiler og nettbrett i Norge. Selger var det britiske selskapet Tamoco.
– Selve konseptet er på ingen måte nytt. Da New York Times kom med sine avsløringer, så tenkte vi «bra», da skjønner amerikanerne kanskje hvorfor vi i Europa har laget så strenge personvernregler. USA har ingen lov som tilsvarer vårt GDPR. Det som er så spesielt med NRKs avsløring, er at nå har vi et klart bevis på at dette skjer i Europa, som er underlagt GDPR.
Det sier Tobias Judin, som er seksjonssjef for Datatilsynets internasjonale seksjon.
– Er det det som skjer her lovlig etter GDPR?
– Vi kan ikke saksbehandle dette gjennom media, men vi mener det som fremkommer er grovt og dypt problematisk, og at det absolutt bør sees på nærmere. Foreløpig samler vi fortsatt inn fakta, men det første vi vil gjøre er å ta kontakt med det britiske datatilsynet. Deretter vil vi også ta dette opp i det europeiske personvernrådet, for om det skjer her, skjer det garantert også i resten av EØS-området.
– Hva tror du er tidshorisonten på en sak som dette?
– Det som er litt kompliserende, er at Storbritannia er i en overgangsperiode med hensyn til EU-medlemskapet. Ingen vet helt hva som vil skje etter 31. desember. Så lenge de er med i EU må vi forholde oss til det britiske datatilsynet, og vi regner jo med at også de vil reagere sterkt på dette her. Når Storbritannia ikke lenger er med i EU, vil alle andre datatilsyn i Europa potensielt kunne reise sak direkte mot virksomheter i Storbritannia. Samtidig vet vi at det også vil bli etablert kontakt på politisk nivå. Statsråden har jo varslet at hun vil snakke med sin britiske kollega.
– Vet vi noe om hvilke apper som selger disse dataene?
– Nei, vi vet ikke hvilke apper de får dette fra, det kan være hvilke som helst, og det er jo noe av det som er litt skummelt her. Vi kommer til å gå ut med en klar anbefaling til folk om å gå gjennom personverninnstillingene, og være restriktive med hvilke apper som gis tilgang til lokasjonsdata. Men samtidig må vi understreke at det er ikke folks eget ansvar at dataene varetas på en forsvarlig måte, det skal selskapene gjøre.
I januar i fjor ble selskapet bak den populære amerikanske appen The Weather Channel saksøkt av Los Angeles, for salg av lokasjonsdata innhentet uten tilstrekkelig samtykke. I New York er det foreslått et forbud mot slikt salg.
NRK har laget en guide til hvordan du kan beskytte deg bedre mot sporing, den finner du her.
.jpg.jpeg?quality=85)
