Erklæring fra Personvernrådet om COVID-19 og behandling av personopplysninger

Erklæring fra Personvernrådet om COVID-19 og behandling av personopplysninger

Det europeiske personvernrådet kom 20. mars 2020 med en erklæring om behandling av personopplysninger i forbindelse med utbruddet av koronavirus. Erklæringen tar for seg sentrale typetilfeller av behandlinger i den situasjonen vi er i nå.

Last ned PDF

Om erklæringen

Merk

Denne teksten er vår oversettelse av erklæringen. Orginalteksten finner du på Personvernrådet, European Data Protection Board (EDPB), sine nettsider.

Personvernrådet er et uavhengig EU-organ som består av datatilsynsmyndighetene i EØS. Rådet har flere oppgaver, blant annet å gi retningslinjer og uttalelser om hvordan personvernforordningen (GDPR) skal tolkes.

Der det refereres til nasjonalt lovverk vil det i Norge særlig være relevant å se til smittevernloven, folkehelseloven og arbeidsmiljøloven med tilhørende forskrifter.

Personvernrådet har vedtatt følgende erklæring:

Myndigheter, offentlige og private virksomheter i hele Europa setter i verk tiltak for å begrense og avhjelpe COVID-19. Dette kan innebære behandling av ulike typer personopplysninger.

Personvernregler (slik som personvernforordningen/GDPR) er ikke til hinder for tiltak som gjøres i bekjempelsen av koronavirus-pandemien. Bekjempelse av smittsomme sykdommer er et verdifullt mål som deles av alle nasjoner, og bør derfor støttes opp om på best mulig måte. Det er i menneskehetens interesse å redusere spredningen av sykdommer og å bruke moderne metoder i bekjempelsen av plager som påvirker store deler av verden.

Likevel vil Personvernrådet understreke at selv i disse ekstraordinære tider må behandlingsansvarlige og databehandlere sørge for beskyttelse av de registrertes personopplysninger. Det bør derfor tas en rekke hensyn for å sikre lovlig behandling av personopplysningene. I alle tilfeller skal man huske på at ethvert tiltak som gjøres i denne forbindelse må respektere de grunnleggende rettsprinsippene og tiltakene må ikke være irreversible.

Krise/nødsituasjon er et rettslig vilkår som kan legitimere restriksjoner på friheter, såfremt restriksjonene er forholdsmessige og begrenset til å gjelde kun i krise/nødperioden.

Behandlingens lovlighet

Personvernforordningen er et vidt regelverk. Det gir regler som gjelder for behandling av personopplysninger også i en situasjon som den vi står overfor med COVID-19.

Personvernforordningen tillater de kompetente offentlige helsemyndigheter og ansatte å behandle personopplysninger i forbindelse med en epidemi i samsvar med nasjonalt regelverk og innenfor vilkårene satt i dette. For eksempel når slik behandling er nødvendig av hensyn til betydelig offentlig interesse innen folkehelse. Under slike omstendigheter er man ikke avhengig av samtykke fra den enkelte.

Offentlige myndigheter

Når det gjelder behandling av personopplysninger av kompetente offentlige myndigheter (for eksempel helsemyndighetene), herunder behandling av særlige kategorier av personopplysninger, mener Personvernrådet at artikkel 6 og 9 i personvernforordningen muliggjør behandling av personopplysninger. Det gjelder spesielt der behandlingen faller inn under den offentlige myndighetens lovbestemte kompetanse i henhold til nasjonal lovgivning, og vilkårene nedfelt i personvernforordningen.

På arbeidsplassen

I ansettelsesforhold kan behandling av personopplysninger være nødvendig for å overholde arbeidsgiverens rettslige forpliktelser. Det kan være forpliktelser knyttet til helse og sikkerhet på arbeidsplassen, eller i tilknytning til allmennhetens interesse, for eksempel kontroll med sykdommer og andre helsetrusler.

Personvernforordningen gjør også unntak fra forbudet mot behandling av noen særlige kategorier av personopplysninger, slik som helseopplysninger, der dette er nødvendig av hensyn til betydelige allmenne interesser innen folkehelse (art. 9.2.i), på bakgrunn av unionsrett eller nasjonal lov, eller der dette er nødvendig for å beskytte den registrertes vitale interesser (art. 9.2.c), hvor fortalepunkt 46 eksplisitt nevner hensynet til å kontrollere en epidemi.

Les mer om personvern på arbeidsplassen til sist i erklæringen

Behandling av telekomdata (lokasjonsdata)

Når det gjelder behandling av telekommunikasjonsdata, slik som lokasjonsdata, må nasjonale lover som implementerer kommunikasjonsverndirektivet, overholdes. Som utgangspunkt kan lokasjonsdata kun brukes av operatøren når den er gjort anonym eller med samtykke fra den enkelte bruker.

Direktivets artikkel 15 gjør det imidlertid mulig for medlemsstatene å innføre lovgivningstiltak for å ivareta offentlig sikkerhet. Slik unntakslovgivning er kun lovlig dersom det utgjør et nødvendig, egnet og forholdsmessig tiltak i et demokratisk samfunn. Tiltakene må være i tråd med Den europeiske unions pakt om grunnleggende rettigheter og Den europeiske menneskerettighetskonvensjonen. Videre vil tiltakene være underlagt domstolskontroll under EU-domstolen og Den europeiske menneskerettighetsdomstol. I en krisesituasjon bør tiltakene også være strengt begrenset til varigheten av krisen.

Se mer om bruk av mobile lokasjonsdata litt lenger bak i erklæringen.

Kjerneprinsipper for behandling av personopplysninger

Personopplysninger som er nødvendige for å oppnå målene man søker, skal behandles etter spesifikke og uttrykkelig angitte formål.

Den registrerte skal motta åpen (transparent) informasjon om behandlingen som utføres og dennes hovedfunksjoner, inkludert oppbevaringsperioden for den innsamlede dataen og formålet med behandlingen. Informasjonen skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte, på et klart og enkelt språk.

Det er viktig å vedta tilstrekkelige sikkerhetstiltak og retningslinjer for konfidensialitet for å sikre at personopplysninger ikke deles med uautoriserte parter. Tiltak som innføres for å håndtere den foreliggende nødsituasjonen og den underliggende beslutningsprosessen skal være tilstrekkelig dokumentert.

Bruk av mobile lokasjonsdata

Kan medlemslandenes myndigheter bruke personopplysninger fra den enkeltes mobiltelefoner for å overvåke, kontrollere og redusere spredningen av COVID-19?

I noen medlemsstater ser myndighetene for seg bruk av mobile lokasjonsdata som en potensiell måte for å overvåke, kontrollere og redusere spredningen av kovidviruset. Dette vil for eksempel innebære muligheten til å geolokalisere individer eller å sende folkehelsemeldinger til enkeltpersoner i et bestemt område via telefon eller tekstmelding.

Anonym behandling

Offentlige myndigheter skal først forsøke å behandle opplysningene på en anonym måte (det vil si behandle dataene aggregert på en sånn måte at enkeltindivider ikke kan re-identifiseres). Dette vil kunne muliggjøre generering av rapporter om tettheten av mobile enheter på et bestemt sted ("kartografi"). Reglene for beskyttelse av personopplysninger gjelder ikke der dataene er anonymisert riktig.

Ikke-anonym behandling

Når det ikke er mulig å kun behandle anonymiserte data, åpner kommunikasjonsverndirektivet for å vedta nasjonal lovgivning for å ivareta offentlig sikkerhet (art. 15).

Dersom det innføres tiltak som tillater behandling av ikke-anonymisert lokasjonsdata, har medlemsstatene plikt til å sette i verk tilstrekkelige garantier, for eksempel ved å sikre brukere av elektroniske kommunikasjonstjenester adgang til rettsmidler.

Forholdsmessighetsprinsippet gjør seg også gjeldende. Den minst inngripende løsningen er alltid å foretrekke, sett opp mot det spesifikke formålet som ønskes oppnådd. Inngripende tiltak, slik som «tracking» av enkeltpersoner (for eksempel behandling av historiske ikke-anonymiserte lokasjonsdata) kan være forholdsmessige under helt spesielle omstendigheter og avhengig av de konkrete behandlingsformene. Det bør imidlertid gjøres med nøye granskning og nødvendige garantier for å sikre overholdelse av personvernprinsippene (forholdsmessigheten av tiltaket med tanke på varighet og omfang, begrenset lagringstid og formålsbegrensning).

Spesielt om arbeidsforhold

Kan en arbeidsgiver kreve at besøkende eller ansatte fremlegger spesifikk helseinformasjon i tilknytning til COVID-19?

Prinsippene om forholdsmessighet og dataminimering er spesielt relevante her. Arbeidsgiveren kan kun kreve helseinformasjon i den utstrekning nasjonal lovgivning tillater dette.

Kan en arbeidsgiver utføre medisinsk kontroll av ansatte?

Svaret beror på nasjonale lover om arbeidsforhold og/eller helse og sikkerhet. Arbeidsgiver skal kun få tilgang til og behandle helseopplysninger dersom deres egne rettslige forpliktelser krever det.

Kan en arbeidsgiver fortelle at en ansatt er smittet med COVID-19 til hans kolleger eller eksterne?

Arbeidsgivere bør informere ansatte om COVID-19-tilfeller og iverksette beskyttelsestiltak, men skal ikke kommunisere mer informasjon enn nødvendig. I tilfeller der det er nødvendig å avsløre navn på den aktuelle ansatte som er smittet (eksempelvis i en forebyggende kontekst) og nasjonal lovgivning tillater det, skal den ansatte det gjelder bli informert på forhånd og deres verdighet og integritet skal ivaretas.

Hvilken informasjon i relasjon til COVID-19 kan arbeidsgiver samle inn og behandle?

Arbeidsgiver kan samle inn personlig informasjon for å oppfylle sine plikter og organisere arbeidet i tråd med nasjonal lovgivning.