GDPR-og-COVID-19
News & Events Ny vejledning fra Datatilsynet

GDPR og Corona-epidemien – #1

I disse Corona tider kan det være godt lige at få opfrisket, hvad du som dataansvarlig skal være opmærksom på, når du behandler oplysninger om medarbejdere, der er i karantæne, eller måske endda smittet med sygdommen. Datatilsynet udsendte den 5. marts en kort tekst med generel vejledning om de databeskyttelsesmæssige forhold i forbindelser med behandlingen af Corona-relaterede personoplysninger. Siden da må man sige, at begivenhederne har taget fart, og at situationen er gået fra skidt til værre. Dette indlæg samler op på nogle af de væsentligste GDPR-temaer du skal være opmærksom på, når din virksomhed behandler Corona-relaterede personoplysninger.

Indledningsvist er det vigtig at huske, hvilke typer af behandlinger, der i det hele taget er omfattet af Databeskyttelseslovgivningen. Det fremgår af Databeskyttelsesforordningens art. 2, at ”forordningen finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register”.  

Hvad betyder det? Det betyder, at databeskyttelsesreglerne gælder, når du “behandler” personoplysninger. Det er derfor afgørende at være opmærksom på, hvornår du udfører en behandling af oplysninger om andre, fordi du ofte vil have forpligtelser efter reglerne og være ansvarlig for beskyttelsen af oplysningerne.

En behandling kan efter databeskyttelsesforordningen omfatte enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Lovgivningen gælder for alle elektroniske behandlinger samt alle ikke-elektroniske behandlinger, fx arkivering og opslag i et arkivskab, hvis personoplysningerne er struktureret efter nogle bestemte kriterier, fx årstal, sagstype eller lignende. Oplysninger om medarbejdere, der videreformidles mundtligt, er strengt taget ikke omfattet af GDPR-reglerne, men derimod af de almindelige ansættelsesretlige regler, herunder om tavshedspligt i ansættelsesforhold mv.

Når du skal overveje, hvordan du skal behandle Corona-relaterede oplysninger, er det, som altid, vigtigt at forholde sig til, hvordan du kan overholde de centrale GDPR-principper i Databeskyttelsesforordningens art. 5. Har du styr på overholdelsen af disse principper kan det ikke gå helt galt. Nedenfor følger nogle overvejelser om, hvad du skal være opmærksom på i forhold til det første GDPR-princip – nemlig at behandlingen skal være lovlig, rimelig og gennemsigtig. I det næste indlæg ser vi nærmere på de øvrige GDPR-principper.

Behandlingens lovlighed

Da oplysninger om medarbejdere i Corana-karantæne eller om smittede medarbejdere er helbredsoplysninger, og dermed følsomme oplysninger, jf. Databeskyttelsesforordningen art. 9, kan du som udgangspunkt bruge de samme behandlingsgrundlag som for alle øvrige behandlinger af helbredsoplysninger i ansættelsesforhold, der følger af de ansættelsesretlige regler. I takt med at Corona-virussen er eskaleret til en egentlig sundhedskrise, og der bl.a. udarbejdes særlovgivning til at håndtere epidemien, er andre behandlingsgrundlag i stigende grad også relevante udover de førnævnte ”almindelige” behandlingsgrundlag, fordi der opstår “nye” formål med behandlingen.

Da der er tale om følsomme personoplysninger, skal du som sædvanlig først identificere en lovlig dispensation til at behandle sådanne oplysninger. Når der drejer sig om oplysninger om medarbejderes sygdom kan dispensationen i art. 9 stk. 2 b) (behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder) altid anvendes. Som arbejdsgiver er du fx forpligtet til at kunne dokumentere sygdomsforløbet i forbindelse med udbetaling af lønrefusion.

Jo mere kritisk Corona-udvikling bliver, jo mere relevant er det at anvende andre dispensationsadgange end den gængse i art. 9 stk. b). I den aktuelle situation virker dispensationen i art. 9 stk.2 i), der handler om behandlinger, der er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici, eksempelvis stadig mere relevant. Pointen er, at der rent faktisk er flere muligheder for at dispensere fra det generelle forbund mod behandling af helbredsoplysninger, når det gælder Corona-karantæneramte og smittede, end det almindeligvis gælder for andre ”almindelige ” helbredsoplysninger om medarbejdere. Det skyldes grundlæggende, at der nu er flere formål med at behandle de samme oplysninger.

Tilsvarende er det i den aktuelle situation også muligt at udvide antallet af mulige, lovlige behandlingsgrundlag til behandlingen af Corona-relaterede personoplysninger. Almindeligvis vil art. 6 stk.1 b), der henviser til ansættelseskontrakten, være det oplagte valg. Men i takt med epidemiens udvikling kommer art. 6 stk. 1 d), der handler om behandlinger, der er nødvendige for at beskytte den registreredes eller en anden fysisk persons vitale interesser (det handler om liv og død), også i spil.  Interesse-afvejningsreglen i art. 6 stk. f) er også en relevant mulighed pt. Det fremgår af Databeskyttelseslovens § 12 (stk. 1+2), at behandlingen af personoplysninger i forbindelse med ansættelsesforhold omfattet af artikel 6, stk. 1, og artikel 9, stk. 1, i databeskyttelsesforordningen kan finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, som udspringer af anden lovgivning…”. Den relevante ”anden lovgivning” kunne fx være epidemi-loven.

Så i forhold til lovligheden af behandlingen skal du overveje, om din behandling af Corona-relaterede personoplysninger reelt tjener to forskellige formål nu: For det første de almindelige personaleadministrative formål, der følger af ansættelsesforholdet, og for det andet et bredere, folkesundhedsmæssigt formål, som rækker ud over virksomhedens egne, snævre interesser. Da der altid skal være en klar sammenhæng mellem det anvendte behandlingsgrundlag og formålet med behandlingen, skal du være skarp på, hvilket grundlag, du anvender til hvilket formål.

Kravet om gennemsigtighed

Kravet om gennemsigtighed handler primært om at sikre, at medarbejderen er blevet tilstrækkeligt informeret om de behandlinger du som dataansvarlig gennemfører om den karantæne-ramte eller smittede medarbejder – du skal løfte din oplysningspligt, jf. Databeskyttelsesforordningens art. 13+14.

Det er formentlig de færrest virksomheder, der i deres privatlivspolitik har taget højde for den epidemi-situation vi står i. Privatlivspolitikken indeholder almindeligvis alene oplysninger om de behandlinger, som din virksomhed gennemfører i ”fredstid”. Så snart du begynder at indsamle, typisk på baggrund af information fra medarbejderen selv, og registrere de Corona-relaterede helbredsoplysninger om medarbejderen, er du i henhold til Databeskyttelsesforordningens art. 13 imidlertid forpligtet til oplyse medarbejderen om de påtænke behandlinger. Denne oplysningsforpligtelse kan fx klares ved at HR-afdelingen udarbejder en standard-mail, med de krævede informationer, som fremsendes til medarbejderen i umiddelbar forlængelse af sygemeldingen. Det er i øvrigt vigtigt, at du formulerer mailen i et klart og ikke-akademisk sprog, der er let tilgængeligt for medarbejderen.

I det næste blog-indlæg vil jeg som sagt se nærmere på, hvilke overvejelser du skal gøre dig i forhold til de øvrige GDPR-principper.

Du kan i øvrigt læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *