Behandling av personopplysninger i unntakstilstand

Den ungarske regjeringen har bestemt at når personopplysninger behandles for koronarelaterte formål, gjelder ikke den enkeltes rettigheter etter personvernforordningen (GDPR). Personvernrådet har nå kommet på banen og uttaler seg om slik praksis.

En kriselov i Ungarn, som gir regjeringen mulighet til å styre ved dekret og setter nasjonens parlament til side, har vakt mye oppmerksomhet og bekymringer i Europa. Kriseloven trådte i kraft i kontekst av koronapandemien og unntakstilstand i landet. I medhold av kriseloven har regjeringen vedtatt et dekret som blant annet setter til side rettighetene landets innbyggere vanligvis har etter det felleseuropeiske personvernregelverket, når opplysninger om dem samles inn og brukes for koronarelaterte formål.

Personvernforordningen et effektivt svar

Personvernrådet (EDPB), som består av alle datatilsynsmyndighetene i EØS, er blitt informert om dekretet (179/2020 av 4. mai 2020), og responderer i form av en felles erklæring om behandling av personopplysninger i unntakstilstand. Rådet står fast på at personvernforordningen (GDPR) i det lengste bør gjelde i medlemsstatene.

- Personvernregelverket er i stand til å svare effektiv på pandemien, samtidig som det beskytter grunnleggende rettigheter og friheter. Regelverket muliggjør allerede databehandlingsoperasjoner som er nødvendige for å bidra til kampen mot COVID-19-pandemien, heter det i en pressemelding fra rådet.

Personvernrådets erklæring kan lastes ned lenger ned i saken.

Benytter unntak i personvernforordningen

Artikkel 23 i personvernforordningen åpner for at en nasjonal lovgiver kan begrense omfanget av forpliktelsene og rettighetene i regelverket på visse vilkår. Personvernrådet understreker imidlertid at begrensninger av forpliktelser og rettigheter i personvernforordningen må ivareta en rekke prinsipper. Blant annet må begrensningene være nødvendige og proporsjonale satt opp mot personvernet til den enkelte borger. Disse prinsippene er listet opp i Personvernrådets pressemelding.

Det ungarske dekretet sier spesifikt at den registrertes rettigheter i personvernforordningen ikke gjelder der behandlingen av personopplysninger skjer med formål å forhindre, forstå eller oppdage koronavirussykdommen og hindre dens videre spredning, inkludert organisering av den koordinerte driften av statlige organer. Unntakene har ingen klart angitt tidsbegrensning.

- Kan sette presedens

- I krisetider må vi være spesielt bevisste på utviklinger som utfordrer personvernet og andre grunnleggende rettigheter og friheter. Det er viktig å ikke gjøre unntak fra loven i større grad enn nødvendig, hvis ikke kan det sette en bekymringsfull presedens, sier seksjonssjef for internasjonal seksjon i Datatilsynet, Tobias Judin.

Koronapandemien har i det hele tatt vist seg å medføre en lang rekke utfordringer for personvernet.

- Kriseloven i Ungarn kommer i en tid der de fleste regjeringene i Europa selv har vedtatt forskjellige kriselover og gitt seg selv utvidete fullmakter. Mange land, inkludert Norge, har i tillegg utviklet og lansert forskjellige smittesporings- og varslingssystemer. Personvernrådet følger aktivt med på denne utviklingen, sier Judin.

Svarer menneskerettsorganisasjoner

I tillegg til at Personvernrådet vedtok en uttalelse om den registrertes rettigheter etter personvernforordningen i unntakstilstand, vedtok rådet også et brev som svarer på bekymringer for den ungarske kriseloven fra tre menneskerettighetsorganisasjoner: Civil Liberties Union for Europe, Access Now Hungarian Civil Liberties Union (HCLU).

6