Husk databeskyttelse når medarbejdere oplyser testresultater
Datatilsynet undersøger i øjeblikket en sag om et firma, der angiveligt anvendte en WhatsApp-gruppe til at udveksle testresultater. Med de mange nye regler, der enten giver adgang til at kræve at medarbejdere bliver testet eller kræver at virksomheder får testet tilrejsende medarbejdere, er det vigtigt at virksomheder samtidig er meget opmærksomme på hvordan de følsomme oplysninger bliver behandlet.
Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.
Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.
Testresultater er helbredsoplysninger
Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.
Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:
- At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen
- At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten
- At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger
- At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt
- At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser
Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.
IUNO mener
Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.
IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.
Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.
Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.
Testresultater er helbredsoplysninger
Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.
Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:
- At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen
- At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten
- At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger
- At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt
- At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser
Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.
IUNO mener
Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.
IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.
Lignende
Holdet
Alexandra
Jensen
Associate
Alma
Winsløw-Lydeking
Senior legal assistant
Anders
Etgen Reitz
Partner, advokat
Cecillie
Groth Henriksen
Senior associate, advokat
Elias
Lederhaas
Legal assistant
Emilie
Louise Børsch
Associate
Johan
Gustav Dein
Associate
Kirsten
Astrup
Managing associate, advokat
Maria
Kjærsgaard Juhl
Legal advisor
Sunniva
Løfsgaard
Legal assistant