GDPR-og-COVID-19
Ny vejledning fra Datatilsynet Quick Tips

GDPR & Corona #3

Det Europæiske Databeskyttelsesråd (EDPB) udsendte den 19. marts 2020 en udtalelse om behandlingen af personoplysninger i forbindelse med Corona-epidemien. EDPB slår i udtalelsen fast, at selvom epidemien kræver helt ekstraordinære tiltag, så skal den dataansvarlige, fx private virksomheder, fortsat sikre, at personoplysninger behandles på en forsvarlig måde i overensstemmelse med databeskyttelsesforordningens generelle principper.

I denne lille serie om, hvordan du som dataansvarlig kan sikre, at behandlingen lever op til GDPR-principperne, har vi indtil nu set på princippet om lovlighed (indlæg 1) og princippet om at behandlingen skal ske til udtrykkeligt angivne og legitime formål (indlæg 2). I dette indlæg skal vi se på princippet om at behandlingen af personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles – det er det, som også kaldes dataminimeringsprincippet.

Anvendelsen af dataminimeringsprincippet begynder med at den dataansvarlige overvejer, om formålet med behandlingen overhovedet kræver, at der skal behandles personoplysninger. Det skyldes, at dataminimeringsprincippet bl.a. kan håndhæves ved at minimere graden af identifikation af den registrerede.

Som vi så i det forrige indlæg kan der være flere forskellige formål med behandlingen af Corona-relaterede oplysninger om virksomhedens medarbejdere: Der er den behandling, der knytter sig til de ansættelsesretlige regler, herunder ledelsens ret og pligt til at indrette arbejdsmiljøet på en hensigtsmæssig måde, dokumentation af sygdom til brug for refusion mv. Denne registrering, brug og videregivelse af personoplysninger sker som led i virksomhedens almindelige HR-administrative processer, og kræver i sagens natur, at der behandles oplysninger, som kan henføres til den enkelte medarbejder. Andre behandlinger af Corona-relaterede personoplysninger, fx videregivelsen af information om syge/smittede medarbejdere til kollegaer, kan gennemføres for at beskytte kollegaernes vitale interesser eller af hensyn til folkesundheden. Også i denne sammenhæng kan behandlingen af personoplysninger være fuldt ud lovlig, men her er det særligt vigtigt, at virksomheden overvejer:

  • om der er en god grund til at registrere eller videregive de pågældende oplysninger
  • om det er nødvendigt at specificere oplysningerne, herunder om formålet kan opnås ved at ”fortælle mindre”
  • om det er nødvendigt at nævne navne – f.eks. navnet på den person der er smittet og/eller i hjemmekarantæne

Det er med andre ord vigtigt, at du er meget præcis med at dokumentere, hvilke forretningsmæssige sammenhænge behandlingen af de Corona-relaterede personoplysninger indgår i. Som vi har set i de tidligere indlæg kan de samme oplysninger indgå i flere forskellige sammenhænge med vidt forskellige formål. Du skal anvende dataminimeringsprincippet på hver enkelte af de forretningsprocesser, hvori behandlingen af personoplysningerne foregår. Det kan fx betyde, at behandlingen af én bestemt type personoplysning er ok i én sammenhæng, men bør udelades i en anden forretningssammenhæng, der har et andet formål.

EDPB har i vejledningen ” Data Protection by Design and by Default” fra november 2019 anført følgende generelle overvejelser om brugen af dataminimeringsprincippet:

  • Relevans – personoplysninger skal være relevante for den pågældende behandling, og den dataansvarlige skal kunne påvise denne relevans
  • Nødvendighed – hvert persondataelement skal være nødvendigt til de angivne formål og bør kun behandles, hvis det ikke er muligt at opfylde formålet på anden måde
  • Begrænsning – mængden af indsamlede personoplysninger skal være begrænsede til det, der er nødvendigt til formålet
  • Sammenlægning – brug aggregerede data, når det er muligt
  • Pseudonymisering – pseudonymisér personoplysningerne, så snart det ikke længere er nødvendigt at have direkte personhenførbare oplysninger. Gem identifikationsnøglerne separat
  • Anonymisering og sletning – hvor personoplysninger ikke er eller ikke længere er nødvendige til formålet, skal personoplysningerne slettes eller anonymiseres
  • Effektivt procesdesign – den proces, hvori behandlingen sker, skal være designet sådan at dataindsamling og registrering så vidt muligt sker ét sted, uden mulighed for oprettelse af lokale kopier

I det næste blog-indlæg vil jeg se nærmere på, hvilke overvejelser du skal gøre dig i forhold til princippet om gennemsigtighed, når du behandler oplysninger om smittede/karantæneramte medarbejdere.

Du kan i øvrigt læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *