Udbredelsen af Covid-19 (corona), og de foranstaltninger der er blevet indført for at begrænse smitten, har åbnet op for en række problemstillinger, ikke mindst i relation til databeskyttelse og behandling af personoplysninger.

De forskellige europæiske datatilsyn har adresseret nogle af disse problemstillinger gennem udtalelser og anbefalinger. Fokus i udtalelserne fra det danske datatilsyn har været på behandling af corona-relaterede medarbejderoplysninger og databeskyttelse i forbindelse med mange ansattes arbejde hjemmefra. Links hertil kan findes i bunden af artiklen.

Først og fremmest kan det være fuldt berettiget, at en arbejdsgiver behandler medarbejderoplysninger relateret til corona. Reglerne i Databeskyttelsesforordningen (GDPR) og den danske Databeskyttelseslov har den tilstrækkelige fleksibilitet til at kunne tillade sådan behandling i forbindelse med forskellige initiativer på en arbejdsplads.

Anden lovgivning såsom ansættelsesretten og eventuelle offentligretlige regler om sundhed, mv. sætter dog grænser for, hvad en ansat er forpligtiget til at oplyse eller kan bedes oplyse.

Så længe initiativer på en arbejdsplads ikke er i strid med andre regler, vurderer Datatilsynet dog, at der er ret vide rammer for hvornår, en arbejdsgiver kan behandle, herunder registrere og videregive, medarbejderoplysninger relateret til corona. Dette gælder dog kun, når der er tale om almindelige oplysninger omfattet af GDPR Artikel 6.

Nedenstående eksempler på oplysninger relateret til corona er ifølge Datatilsynet almindelige oplysninger, da de ikke er konkrete eller specifikke nok til at være helbredsoplysninger:

  • Oplysninger om at en ansat er hjemvendt fra et såkaldt ”risikoområde”
  • Oplysninger om at en ansat er i hjemmekarantæne (uden at nævne hvorfor)
  • Oplysninger om at en ansat er syg (uden at nævne, hvad personen fejler).

Er der i stedet tale om helbredsoplysninger, som hører til de særlige kategorier af oplysninger omfattet af GDPR Artikel 9, så er rammerne for behandling mere snævre. Omstændighederne kan dog gøre, at behandling er berettiget, fx af hensyn til at ledelse og kollegaer kan træffe nødvendige forholdsregler for at undgå smitte.

Uanset om der er tale om almindelige eller særlige kategorier af oplysninger, så gælder det for al behandling af personoplysninger, også i relation til corona, at principperne i GDPR Artikel 5 skal overholdes.

Forud for behandling bør man derfor overveje:

  • Formålet med at behandle de konkrete oplysninger
  • Hvilke oplysninger der er tilstrækkelige til at opnå dette formål
  • Hvilke oplysninger der kan undlades, fx navne
  • Hvilket hjemmelsgrundlag man har til behandling af oplysningerne
  • Hvad der skal ske med oplysningerne, når ”krisen” er overstået.

I forhold til hjemmelsgrundlag, anbefales det, at behandling af personoplysninger i ansættelsesforhold på baggrund af samtykke begrænses til de situationer, hvor der ikke er andre muligheder. Dette skyldes, at over-/underordnelsesforholdet mellem arbejdsgiver og ansat kan slå tvivl ved et samtykkes frivillighed, og dermed om der er et lovligt grundlag for behandlingen.

Databeskyttelse og hjemmearbejde

En organisations forpligtigelser til at overholde Databeskyttelseslovgivning gælder ikke kun på arbejdspladsen, men også når medarbejdere arbejder hjemmefra. Hvilket er meget relevant i en tid, hvor alle, der kan, er opfordret til at arbejde hjemmefra.

GDPR kræver, at en organisation har truffet de nødvendige organisatoriske og tekniske foranstaltninger for at kunne sikre beskyttelse af personoplysninger, som denne er ansvarlig for, uanset hvor og hvordan disse behandles. Det er derfor vigtigt, at en organisation har sikret sig, at de nødvendige foranstaltninger er på plads.

Hvilke foranstaltninger, den enkelte organisation har behov for, kommer an på en konkret vurdering. Her spiller forskellige faktorer ind såsom, om medarbejdere arbejder fra en arbejdscomputer eller fra en privat computer, om medarbejdere bor alene eller sammen med andre, om medarbejdere skal arbejde med fysiske papirer indeholdende personoplysninger, osv.

Nogle af de råd, Datatilsynet er kommet med i denne forbindelse, er:

  • Fastlæggelse og udmelding af klare retningslinjer for hjemmearbejde samt opfølgning på medarbejderes overholdelse heraf
  • Brug af sikre adgange til fagsystemer, fx gennem VPN, direkte opkobling, m.m.
  • Arbejd og gem i centrale sagsbehandlingssystemer, da den generelle sikkerhed typisk er på plads, herunder adgangskontrol, dokumentversionering, backup m.m.
  • Arbejdes der lokalt på en enhed, så sørg for at enheden eller filer er krypteret
  • Sørg for, at ingen andre, heller ikke evt. børn, har adgang til arbejdsenheder, hvorpå der opbevares arbejdsrelaterede personoplysninger
  • Hold styr på versionering af filer, så data ikke fortabes eller bliver forkerte
  • Upload lokalt lagrede filer til sagsbehandlingssystemer, så snart det er muligt, hvorefter lokale filer straks slettes
  • Sørg for at fysiske dokumenter kan opbevares og skaffes af vejen på betryggende vis.

I denne forbindelse skal det nævnes, at manglende tekniske foranstaltninger er noget datatilsynet slår ned på. Så sent som d. 10. marts 2020 offentliggjorde Datatilsynet, at to kommuner var indstillet til bøder som følge af manglende tekniske foranstaltninger. Konkret var der tale om tyveri af medarbejderes computere indeholdende personoplysninger. Computerne manglende kryptering, hvilket Datatilsynet vurderede til at udgøre en unødig høj risiko for de registrerede. Link til udmeldingen findes i bunden af artiklen.

Tekniske og organisatoriske foranstaltninger er ikke kun relevante i forhold til beskyttelse af persondata, men også for at beskytte fortrolige oplysninger, såsom forretningshemmeligheder eller for at beskytte organisationen mod cyberangreb. Netop cyberangreb vurderes til at udgøre en stigende trussel mod organisationer i disse corona-tider.

Center for Cybersikkerhed har i denne forbindelse udsendt nogle gode råd om hjemmearbejde fra et IT-sikkerhedsperspektiv.

Link hertil kan findes nedenfor.



Reach out

Rune Skovgaard

Consultant

+45 30 93 50 74

Share this story