Erklæring fra Personvernrådet om COVID-19 og behandling av personopplysninger

Behandlingens lovlighet

Personvernforordningen er et vidt regelverk. Det gir regler som gjelder for behandling av personopplysninger også i en situasjon som den vi står overfor med COVID-19.

Personvernforordningen tillater de kompetente offentlige helsemyndigheter og ansatte å behandle personopplysninger i forbindelse med en epidemi i samsvar med nasjonalt regelverk og innenfor vilkårene satt i dette. For eksempel når slik behandling er nødvendig av hensyn til betydelig offentlig interesse innen folkehelse. Under slike omstendigheter er man ikke avhengig av samtykke fra den enkelte.

Offentlige myndigheter

Når det gjelder behandling av personopplysninger av kompetente offentlige myndigheter (for eksempel helsemyndighetene), herunder behandling av særlige kategorier av personopplysninger, mener Personvernrådet at artikkel 6 og 9 i personvernforordningen muliggjør behandling av personopplysninger. Det gjelder spesielt der behandlingen faller inn under den offentlige myndighetens lovbestemte kompetanse i henhold til nasjonal lovgivning, og vilkårene nedfelt i personvernforordningen.

På arbeidsplassen

I ansettelsesforhold kan behandling av personopplysninger være nødvendig for å overholde arbeidsgiverens rettslige forpliktelser. Det kan være forpliktelser knyttet til helse og sikkerhet på arbeidsplassen, eller i tilknytning til allmennhetens interesse, for eksempel kontroll med sykdommer og andre helsetrusler.

Personvernforordningen gjør også unntak fra forbudet mot behandling av noen særlige kategorier av personopplysninger, slik som helseopplysninger, der dette er nødvendig av hensyn til betydelige allmenne interesser innen folkehelse (art. 9.2.i), på bakgrunn av unionsrett eller nasjonal lov, eller der dette er nødvendig for å beskytte den registrertes vitale interesser (art. 9.2.c), hvor fortalepunkt 46 eksplisitt nevner hensynet til å kontrollere en epidemi.

Les mer om personvern på arbeidsplassen til sist i erklæringen

Behandling av telekomdata (lokasjonsdata)

Når det gjelder behandling av telekommunikasjonsdata, slik som lokasjonsdata, må nasjonale lover som implementerer kommunikasjonsverndirektivet, overholdes. Som utgangspunkt kan lokasjonsdata kun brukes av operatøren når den er gjort anonym eller med samtykke fra den enkelte bruker.

Direktivets artikkel 15 gjør det imidlertid mulig for medlemsstatene å innføre lovgivningstiltak for å ivareta offentlig sikkerhet. Slik unntakslovgivning er kun lovlig dersom det utgjør et nødvendig, egnet og forholdsmessig tiltak i et demokratisk samfunn. Tiltakene må være i tråd med Den europeiske unions pakt om grunnleggende rettigheter og Den europeiske menneskerettighetskonvensjonen. Videre vil tiltakene være underlagt domstolskontroll under EU-domstolen og Den europeiske menneskerettighetsdomstol. I en krisesituasjon bør tiltakene også være strengt begrenset til varigheten av krisen.

Se mer om bruk av mobile lokasjonsdata litt lenger bak i erklæringen.