Coronavirus: Databeskyttelsesretlige udfordringer
Erhvervslivet i Danmark og i resten er verden er i øjeblikket i en ekstraordinær situation med midlertidige nedlukninger, hjemsendelse af medarbejdere og afskedigelser. Situationen nødvendiggør også i væsentligt omfang indsamling, opbevaring og om nødvendigt videregivelse af personoplysninger ‒ navnligt om medarbejdere, der enten er blevet testet positive for COVID-19 eller udviser symptomer herpå. Det er vigtigt, at man også i disse tider har fokus på beskyttelse af de registreredes rettigheder, herunder overholdelse af gældende databeskyttelseslovgivning.
Grundlæggende principper for behandling af personoplysninger
Indledningsvist er det vigtigt at bemærke, at den gældende databeskyttelseslovgivning, herunder databeskyttelsesforordningen (GDPR), ikke er til hinder for, at der sker en indsamling, opbevaring, videregivelse eller anden behandling af personoplysninger. Det gælder også i de tilfælde, hvor der er tale om helbredoplysninger, der betragtes som følsomme personoplysninger.
Det er dog vigtigt, at en sådan behandling sker i overensstemmelse med databeskyttelseslovgivningen og derved sikrer en tilstrækkelig høj beskyttelse af de registreredes rettigheder. Dette indebærer indledningsvist, at man sikrer, at enhver behandling af personoplysninger sker i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningen, blandt andet kravet om lovlighed, rimelighed og saglighed. Det kan du læse nærmere om i vores omtale; COVID-19: Vigtige ansættelses- og databeskyttelsesretlige aspekter.
I tillæg til ovennævnte principper gælder der også et princip om dataminimering og gennemsigtighed.
Dataminimering
Princippet om dataminimering indebærer, at der ikke må indsamles flere oplysninger, end det er nødvendigt for opnåelse af det formål, hvortil personoplysninger indsamles. Behandlingen af personoplysninger skal altså være proportionel i forhold til formålet. Man skal derfor allerede forud for behandlingen af personoplysninger, der relaterer sig til COVID-19-udbruddet, overveje, hvilke personoplysninger der er nødvendige for, at formålet kan opnås. Det gælder ikke mindst, når der er tale om personoplysninger vedrørende medarbejderens helbred eller oplysninger om personer i dennes hustand, øvrige familiemedlemmer eller venner, der måtte være blevet testet positive for COVID-19, eller som er i karantæne, fordi de udviser symptomer herpå. I disse tilfælde bør det overvejes, om formålet kan opnås uden nærmere indsamling af oplysninger, der kan identificere den/de pågældende.
Princippet om dataminimering skal også overvejes i forhold til videregivelse af oplysninger om en medarbejder, der er testet positiv for COVID-19 eller udviser symptomer, til tredjeparter, f.eks. til andre medarbejdere, kunder, leverandører mv. Det kan eksempelvis være i tilfælde, hvor bekymrede medarbejdere eller kunder kontakter virksomheden for at høre, hvem der konkret er tale om. Man skal i disse tilfælde overveje, om modtageren af disse oplysninger vil kunne træffe de nødvendige foranstaltninger uden at få oplyst, hvilken konkret medarbejder der er testet positiv for eller udviser symptomer på COVID-19.
Gennemsigtighed
Overholdelse af princippet om gennemsigtighed er en forudsætning for, at den registrerede kan udøve sine rettigheder. Heraf følger blandt andet en forpligtelse til at gøre den registrerede bekendt med, at der bliver behandlet personoplysninger om vedkommende, hvad der er formålet med behandlingen af oplysningerne og retsgrundlaget derfor. Den registrerede skal også oplyses om en eventuel videregivelse af dennes personoplysninger.
Størstedelen af danske virksomheder, organisationer mv. har efterhånden fået udarbejdet en privatlivspolitik over for medarbejdere, der netop beskriver virksomhedens behandling af medarbejdernes personoplysninger. Det er dog af god grund de færreste af disse privatlivspolitikker, der har taget højde for en situation som den nuværende.
Man skal derfor overveje, om de oplysninger, der fremgår af den "generelle" privatlivspolitik er tilstrækkelige. Hvis det ikke er tilfældet, skal man sikre, at medarbejderen får de fornødne yderligere oplysninger om virksomhedens behandling af personoplysninger i relation til corona / COVID-19. Dette kan eksempelvis gøres ved en supplerende eller helt særskilt privatlivspolitik, som sendes til eller på anden vis gøres tilgængelig over for medarbejderne.
Datatilsynets udtalelse vedrørende den nuværende coronasituation
Direktør for Datatilsynet, Cristina Angela Gulisano, har i en artikel fra Dansk Industri udtalt, at selvom databeskyttelsesreglerne ikke kan lempes, vil Datatilsynet dog i tilfælde af overtrædelser heraf se på helheden, og at Datatilsynet i vurderingen af en eventuel passende sanktion vil tage højde for eventuelle særlige forhold som følge af den ekstraordinære situation, som vi befinder os i.
Det er dog ifølge Datatilsynet vigtigt, at man dokumenterer sine overvejelser. Dette gælder ikke mindst, når der er tale om forhold, hvor man er på "kant med reglerne".
Vores rådgivning
Vores team af specialister står klar til at yde rådgivning om de databeskyttelsesretlige problemstillinger, der måtte opstå i relation til COVID-19.
Kontakt
