Coronavirus - Persondataretlige udfordringer

Mange virksomheder foretager i øjeblikket en række tiltag, hvor der - ganske naturligt - behandles personoplysninger om virksomhedens medarbejdere.

Vi ser generelt, at virksomheder har mange spørgsmål til, hvilke oplysninger man må behandle om medarbejdere i forbindelse med coronavirus (COVID-19), samt til deling af oplysninger om berørte medarbejdere med henholdsvis kunder og øvrige medarbejdere i virksomheden.

Det er vigtigt, at man her holder sig de persondataretlige grundprincipper for øje, særligt princippet om dataminimering.

Nedenfor har vi lavet en liste over, hvilke persondataretlige overvejelser virksomheder særligt bør gøre sig:

1. Videregivelse af personoplysninger skal være saglig og nødvendig. Vær særligt opmærksom på delingen af oplysninger i situationer, hvor:

  • en medarbejder er konstateret smittet med COVID-19, og en bredere del af organisationen skal informeres. Her er det vigtig grundigt at overveje, hvilke oplysninger der kan deles om den smittede. Det bør for så vidt muligt undgås, at den smittede kan identificeres.
  • en medarbejder er konstateret smittet med COVID-19, og enkelte medarbejdere skal informeres, da de har været tæt på den smittede. I dette tilfælde vil det oftest være nødvendigt at identificere den smittede, så de eventuelt berørte medarbejdere kan identificeres og gå i hjemmekarantæne.

2. Oplysningspligten skal overholdes, jf. GDPR art. 13 og 14. Behandlingen bør som udgangspunkt allerede fremgå af virksomhedens privatlivspolitik til medarbejdere, men hvis det ikke er tilfældet, så anbefales det, at virksomheden opfylder oplysningspligten ved en standardmail fra HR til den smittede. Husk alle de påkrævede oplysninger.

3. Husk at der kun meget sjældent kan gøres brug af samtykke i ansættelsesforhold.

4. Husk at anmodninger fra registrerede, fx indsigtsanmodninger, skal besvares hurtigst muligt, og senest inden for 1 måned. Såfremt det ikke er muligt at overholde fristerne, anbefales det, at virksomheder som minimum ved første henvendelse fra den registrerede sender et standardsvar, hvor der gøres opmærksom på, at der - grundet COVID-19 og nedsat arbejdskraft - kan være forsinkelse ved håndtering af den registreredes anmodning.

5. Sørg for at have det samme niveau af sikkerhed for hjemmearbejde, som ved arbejde på virksomhedens kontor. Hvis medarbejdere har printet materiale, som er taget med hjem, skal det beskyttes i samme grad, fx opbevares i aflåste skabe. Derudover skal forbindelse til virksomhedens IT-systemer etableres på en sikker måde, fx via VPN med to-faktor login. Informér medarbejdere om risiko for falske mails og retningslinjer for håndtering af mistænkelige mails. Se trusselvurdering og vejledning fra Center for Cybersikkerhed her.

6. Pas på med datasikkerhed, herunder kryptering, særligt ved emails eller SMS med helbredsoplysninger eller CPR-numre. Hvis en email sendes uden overholdelse af sikkerhedskrav, vil der være tale om en datasikkerhedsbrist, jf. GDPR art. 33.

Plesners Persondata Team har - sammen med Plesners Team for Ansættelsesret - afholdt et par webinarer, hvor vi bl.a. går i dybden med enkelte persondataretlige udfordringer og besvarer konkrete spørgsmål. Webinarerne kan findes på denne side, som også løbende vil blive opdateret med information om nye webinarer.

Se nyheder og aktuel information om konsekvenserne af coronavirus

Plesner Coronavirus Task Force