GDPR-og-COVID-19
Ikke kategoriseret Quick Tips

GDPR & Corona #2

I dette andet indlæg om GDPR og Corona ser vi videre på, hvordan du kan overholde de grundlæggende GDPR-principper om god behandlingsskik, når du behandler oplysninger om smittede eller karantæne-ramte medarbejdere. I det forrige indlæg så vi på, hvad du skal være opmærksom på i forhold til principperne om lovlighed, rimelighed og gennemsigtighed. I dette afsnit ser vi på princippet om, at personoplysninger altid skal ske til udtrykkeligt angivne og legitime formål.

Formålet med behandlingen

Formålet med behandlingen af personoplysninger må nødvendigvis altid knytte sig til den forretningsproces, hvori behandlingen sker. Som vi så i det forrige indlæg, kan man vælge at betragte behandlingen af oplysninger om smittede/karantæneramte medarbejdere, herunder indsamling, registrering og brug af oplysningerne, helt på lige fod med virksomhedens ordinære behandling af helbredsoplysninger om de ansatte, der gennemføres som led i de almindelige HR-administrative processer. Her er formålet med behandlingen typisk givet af de ansættelsesretlige regler, fx af kravet om dokumentation i forbindelse med udbetaling af refusion, eller af ledelsens forpligtelse til at indrette arbejdsmiljøet efter forholdene.

I takt med at epidemien griber om sig, og virksomhederne almindelige forretningsprocesser sættes ud af kraft, opstår der nye forretningsprocesser, fx forskellige former for nødprocedurer, hvor formålet med behandlingen af personoplysninger skifter karakter. Der kan også opstå nye behandlinger af oplysningerne inden for allerede eksisterende forretningsprocesser. Det er fx tilfældet, hvis virksomheden, som led i den almindelige HR-administrative behandling, videregiver oplysninger til sundhedsmyndighederne med henblik smittesporing mv. Formålet med denne behandlingsaktivitet vil også være end andet end for den hovedproces, hvori de øvrige behandlingsaktiviteter (fx indsamling og registrering) foregår.

Når du introducerer nye forretningsprocesser/nye behandlingsaktiviteter er det vigtigt at du  

  • Fastlægger formålet med behandlingen før du påbegynder behandlingen. Det er vigtigt, fordi det er formålet, der definerer, hvordan den proces, hvori behandlingsaktiviteterne foregår, skal designes. Fx er det formålet, der er retningsgivende for, hvor længe behandlingen skal foregå, og hvilke oplysninger, der er behov for
  • Overvejer om det behandlingsgrundlag, der var relevant i forhold til den oprindelige behandling, forsat er brugbar i forbindelse med den nye proces/behandlingsaktivitet. Behandlingsgrundlaget skal passe til det nye formål. Som vi så på i det forrige indlæg, er flere behandlingsgrundlag relevante i takt med at epidemien breder sig, og formålene med behandlingen dermed skifter karakter
  • Beskriver formålet så specifikt som du kan. Husk at sondre mellem mål og formål. Formålet skal beskrive, hvorfor du gennemfører behandlingen. ”HR-administration” er fx ikke et formål i sig selv men et middel til at opnå en ”effektiv, standardiseret måde at indsamle, registrere og anvende virksomhedsrelevante oplysninger om medarbejdere på i overensstemmelse med virksomhedens interne politikker og relevant lovgivning”
  • Dokumenterer, at det nye formål er kompatibelt/ikke i modstrid med det oprindelige formål, som oplysningerne blev indsamlet til, jf. Databeskyttelsesforordningens art. 6 stk. 4. I den aktuelle situation vil de nye processer/behandlingsaktiviteter blive iværksat som direkte konsekvens af epidemiens fortsatte udvikling, og der vil derfor oplagt være en ”naturlig” forbindelse mellem disse formål, og det oprindelige formål, som oplysningerne blev indsamlet til
  • Begrænser muligheden for viderebehandling til andre, ikke kompatible formål, fx ved at sammenstille oplysninger om Corona-smitte/karantæne med andre oplysninger. Det bør fx overvejes at kryptere oplysningerne, så muligheden for at anvende disse til andre formål reduceres

I det næste blog-indlæg vil jeg se nærmere på, hvilke overvejelser du skal gøre dig i forhold til dataminimeringsprincippet, når du behandler oplysninger om smittede/karantæneramte medarbejdere.

Du kan i øvrigt læse mere om, hvordan pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *