GPS-sporing av ansatte: hva Norge strammer inn i 2026

Varebilen kjører ut fra lageret klokka sju, og et sted i en server begynner en linje å tegne seg på et kart. Den følger sjåføren gjennom morgenrushet, stopper utenfor den første kunden, venter, kjører videre. På slutten av dagen finnes det en komplett fortelling om hvor et menneske har vært, minutt for minutt, uten at noen egentlig bestemte seg for at den fortellingen skulle finnes. Den bare ble til, fordi systemet kunne, og fordi ingen skrudde det av.

Det er her de fleste norske arbeidsgivere tror de er trygge, og det er nettopp her de tar feil. Du kjøpte en flåtestyringsløsning for å planlegge oppdrag og passe på at bilene ikke forsvinner, et helt legitimt formål, og så oppdager du en dag at den samme løsningen lagrer kontinuerlig posisjon på folkene dine. Posisjonsdata er personopplysninger, sier personvernforordningen rett ut, fordi en person kan identifiseres indirekte gjennom dem like godt som gjennom navnet. Du trodde du sporet en bil. Juridisk sporet du en ansatt.

Arbeidsmiljøloven kapittel 9 er klar på at et kontrolltiltak må ha saklig grunn, må stå i forhold til formålet, og skal velges slik at det belaster arbeidstakeren minst mulig. Og før du i det hele tatt slår det på, plikter du å drøfte tiltaket med de tillitsvalgte, gå gjennom behov, utforming og praktisk gjennomføring. Datatilsynet legger personvernforordningen oppå dette igjen: du trenger et reelt rettslig grunnlag, du må følge formålsbegrensning og dataminimering, og den ansatte skal være informert. Fem prinsipper som egentlig sier én ting. Samle inn det du trenger til det du sa du skulle bruke det til, og ikke noe mer.

Den samme regelen rammet et fast overvåket sentrum

Dragefossen AS i Saltdal hadde et webkamera på taket som direktesendte Rognan sentrum på YouTube, montert som et hyggelig servicetilbud for folk som ville se torget i sanntid. Datatilsynet vurderte det annerledes. I mars 2021 fikk selskapet et overtredelsesgebyr på 150 000 kroner, fordi det filmet og kringkastet et offentlig område uten rettslig grunnlag, i strid med personvernforordningen artikkel 6 og artikkel 5. Poenget i vedtaket er verdt å feste seg ved. Det spilte ingen rolle at hensikten var vennlig. Det som manglet, var et lovlig grunnlag og en avgrensning av formålet.

Den linjen går rett gjennom geolokalisering av ansatte. Et system som registrerer hvor en sjåfør befinner seg gjennom hele dagen, samler langt mer enn det et oppdrag krever, og det åpner for noe Datatilsynet er spesielt skeptisk til: at data hentet inn til ett formål senere brukes til et annet. Posisjon samlet for ruteplanlegging blir plutselig grunnlag for å vurdere om noen jobber fort nok, eller for å ta opp pauser i en personalsamtale. Det er ikke lenger logistikk. Det er overvåking, og det er ulovlig om du ikke har et eget grunnlag for nettopp den bruken. Datatilsynet sier det nesten ordrett i veiledningen om sporing av yrkesbiler.

Skalaen endrer seg, ikke regelen

Om du tenker at dette er noe bare små bedrifter snubler i, lønner det seg å se sørover. Det spanske datatilsynet ila i 2023 reisegiganten Amadeus IT Group et gebyr på 14,4 millioner euro, redusert fra atten millioner etter frivillig betaling, for å ha behandlet personopplysninger uten gyldig rettslig grunnlag etter artikkel 6 og uten å informere de registrerte slik artikkel 14 krever. Data samlet inn i én sammenheng ble gjenbrukt i en annen, år senere, uten åpenhet. Et av Europas største teknologiselskaper, med hærskarer av jurister, gikk på akkurat den samme smellen som webkameraet på et tak i Saltdal.

Det forteller deg at antall ansatte ikke er det som avgjør. Prinsippet er det samme enten du har tre varebiler eller tre tusen servere. Og det er her det blir interessant, for et verktøy kan faktisk bygges slik at det nekter å bryte regelen i utgangspunktet. GeoTapp er utviklet rundt en bevisst beslutning om ikke å spore kontinuerlig. Appen fanger posisjon kun i to øyeblikk, ett trykk for å starte vakten og ett trykk for å avslutte den, og lagrer ingen løpende koordinater imellom. Den ansatte ser det skje, vet når det skjer, og det finnes ingen usynlig linje som tegner seg på et kart i bakgrunnen.

Det er ikke en funksjon noen glemte å legge til. Det er formålsbegrensning og dataminimering omgjort til arkitektur, slik at du dokumenterer oppmøte og avgang uten å bygge et bevegelsesregister du verken trenger eller har lov til å ha. Du får oversikten du faktisk er ute etter, et tidfestet stempel på når jobben startet og sluttet, og du slipper å forklare Datatilsynet hvorfor du oppbevarer alt det andre. Når reglene for geolokalisering strammes inn i 2026, er forskjellen på å sove godt og å vente på et brev nettopp dette: ikke hvor mye du klarer å samle inn, men hvor lite du har valgt å lagre.

Så spørsmålet er egentlig enkelt. Trenger du å vite hvor folkene dine var hele dagen, eller trenger du bare å vite at de møtte og dro fra rett sted, til rett tid?