Pas på, hvordan I behandler de oplysninger, der står i Corona-pas

Med et gyldigt coronapas kan man få adgang til frisører, fysioterapeuter m.v. og snart få adgang til caféer, restauranter og kulturtilbud. Det digitale coronapas viser, at en person er færdigvaccineret eller er testet negativ indenfor 72 timer med enten PCR- eller lyntest (antigen-test).

Snart kan man også bruge passet ved besøg på museer, biblioteker og udendørs serveringssteder. Når der efter planen åbnes for bl.a.  biografer, restaurantbesøg og indendørs idræt primo maj skal man også vise coronapas for at få adgang og det vil sikkert også gælde for senere åbninger.

De oplysninger, der fremgår af coronapasset er navn, køn, fødselsdag, cpr-nr., immunitetsstatus samt oplysninger omkring selve testen. Det er vigtigt at bemærke, at dette er både følsomme og fortrolige oplysninger, som generelt skal beskyttes mest muligt. Så tilhører I de erhvervsdrivende, der skal kontrollere om jeres kunder ikke har påvist Covid-19, I nøje skal overveje, om I har et formål med at registrere noget – og i så fald hvad – når en person fremviser sit gyldige pas. Det er samfundsmæssigt vigtigt at fremvise bevis for, at man ikke har Covid-19. Men er det også nødvendigt at få bevis (f.eks. ved foto af coronapasset) for, at en (navn-)given person har fremvist coronapas? Formentlig ikke, i de allerfleste situationer…..

I enkelte situationer kan det dog være nødvendigt at notere, at en konkret person er vaccineret eller testet negativ. I så tilfælde er det vigtigt at følge de opbevarings- og sletteregler, der gælder for behandling af følsomme oplysninger, som sikkert fremgår af jeres Persondatapolitik.  Ellers kan I nemt overtræde databeskyttelseslovgivningen.

Forpligtelser i forhold til databeskyttelseslovgivningen

Det er jeres ansvar som virksomhed og dataansvarlig at leve op til Databeskyttelsesforordningens regler, som fremgår af Datatilsynets hjemmeside.

For at leve op til den databeskyttelseslovgivningen skal man gøre følgende……..

  • vise god databehandlingsskik og overholde de grundlæggende principper for behandling af personoplysninger, som fremgår af forordningen, herunder have forsvarlige sikkerhedsforanstaltninger
  • sikre, at der er nødvendig hjemmel til behandlingen af persondata, både i forhold til typer af personoplysninger og formålet med behandlingen af dem
  • opfylde alle forpligtelser i forhold til de registrerede personer. Det gælder bl.a. oplysning om behandlingen af personoplysninger, og efterlevelse af de registrerede personers ret til indsigt og indsigelse
  • kunne dokumentere, hvilke personoplysninger, man opbevarer, med hvilket formål, hvad de anvendes til, hvem de deles med og, at de slettes, når der ikke længere er formål med at gemme dem
  • kunne bevise, hvordan man lever op til alle krav, når Datatilsynet kommer på inspektion.

For at sikre ovenstående, skal man have følgende på plads:

  1. Privatlivspolitik

    Privatlivspolitikken skal sikre, at man overholder sin pligt til at informere medarbejdere og (privat-) kunder om, hvordan man behandler deres personoplysninger. Vi anbefaler, at privatlivspolitikken gøres kendt i virksomheden og det kan være en god ide at lægge den på sin hjemmeside og/eller intranet.
    En sådan politik er ikke et lovkrav, men udledes af kravet om, at man som dataansvarlig skal leve op til forpligtelsen om ansvarlighed og skal kunne dokumentere ‘gennemsigtighed’ i databehandlingen.

  2. Man skal have lov til at behandle personoplysninger

    Det er vigtigt, at man har hjemmel til at behandle oplysninger. Det kan f.eks. være i form af kontrakt, lovregler, legitime interesser eller samtykke fra de registrerede personer. Der stilles krav til, hvordan et samtykke formuleres, og man skal kunne bevise, at man har fået samtykke fra de registrerede.
  3. Oplysningspligt overfor de registrerede

    Et krav i forordningen er, at man skriftlig oplyser de registrerede privatpersoner (f.eks. medarbejdere og kunder) om de persondata, man behandler om dem og med hvilken hjemmel. Det er fastlagt hvilke oplysninger, der som minimum skal gives. F.eks. skal oplyses hvilke typer af oplysninger, man behandler og med hvilket formål, samt hvor længe de gemmes og hvilke rettigheder, de registrerede har.

  4. Opfyldelse af registreredes rettigheder

    Som individ har man nogle personlige rettigheder, bl.a. ret til at få indsigt i alle de personoplysninger en virksomhed behandler. Man har også indsigelsesret, som dækker over en privatpersons ret til at få urigtige oplysninger rettet eller slettet og i visse tilfælde ret til at modtage de registrerede persondata i et ’struktureret, almindeligt anvendt og maskinlæsbart format’.

    Som  virksomhed bør man overveje, hvordan det praktisk kan lade sig gøre at leve op til disse forpligtelser, således at det er muligt at besvare anmodning fra de registrerede indenfor 1 måned med oversigt over hvilke oplysninger, organisationen ligger inde med – og samtidig kunne bevise, at det er sket.

  5. ”Slette-procedurer”

    En vigtig del af databeskyttelseslovgivningen er ”slettepligten”. Det betyder, at man som virksomhed har pligt til at indføre regler for, hvornår og hvordan man sletter personoplysninger. Det gælder både fremtidig regelmæssig sletning af oplysninger, og sletning af alle de filer og mails, man har liggende med persondata tilbage i tid. Det er formålet, der afgør, hvor længe man må gemme personoplysninger; for  medarbejdere f.eks. gælder som udgangspunkt opbevaring af oplysninger i 5 år.

    Man bør ikke stole blindt på, at sletteprocedurer fungerer og, at data slettes planmæssigt uden fejl. For at være sikker på at slettekørsler er udført korrekt, og at der ikke fortsat opbevares oplysninger, der burde have været slettet, skal man også fastlægge regler for opfølgning på sletning. 
  6. Databehandleraftaler

    Man har som dataansvarlig pligt til at indgå databehandleraftaler med de leverandører, som behandler persondata på vegne af virksomheden og efter instruks.

    Det er vigtigt, at den dataansvarlige virksomhed løbende kontrollerer, om databehandleren overholder forordningens krav, har sikkerhedsforanstaltninger på plads til at passe på de registreredes oplysninger og stiller samme krav til underleverandører, der behandler persondata på vegne af databehandleren.
    Når persondata videregives til tredjelande, gælder der specielle krav til hjemmel.

  7. Fortegnelse

    Forordningen bygger på et princip om ”egen-kontrol”. Det indebærer bl.a. at man skal have fuldt overblik over, om behandlingen af persondata er i overensstemmelse med lovgivningen. I den sammenhæng skal der udarbejdes en ’Artikel 30 Fortegnelse’, som bl.a. skal vises til Datatilsynet, hvis de kommer på besøg. Datatilsynet har i september 2020 besluttet, at oplysningerne i fortegnelsen fremover skal være mere detaljerede.

  8. Tekniske og organisatoriske sikkerhedsforanstaltninger

    Sikkerheden omkring opbevaring af persondata skal være på plads, både fysisk og elektronisk. Det betyder, at alle oplysninger på papir skal være forsvarlig aflåst, og der skal være elektronisk sikkerhed i form af passwords, firewalls, viruskontrol m.v. på alle computere og andre elektroniske medier.

    Jo mere sensitive personoplysninger, man behandler, jo større er kravene til sikkerheden. Datatilsynet har skærpet kravene til kryptering, når fortrolige og følsomme personoplysninger sendes via e-mail. Man skal også sikre, at kun medarbejdere med et sagligt behov har adgang til personoplysningerne.

    Persondatabeskyttelse er i bred forstand risikobaseret og før behandling af personoplysninger skal der foretages en risikovurdering. Dvs. at man skal kortlægge risikoen for datalæk og konsekvensen for de registrerede i forhold til de forholdsregler, der er indført for at sikre personoplysningerne.
  9. Procedure for brud på datasikkerheden

    Det er ikke alle sikkerhedsbrud, der nødvendiggør information til Datatilsynet og til de personer, hvis data bliver kompromitteret, men i nogle situationer gælder en sådan underretningspligt. Der er i den forbindelse fastsat meget stramme tidsfrister (”uden unødigt ophold og inden for 72 timer til Datatilsynet”). Så det er vigtigt på forhånd at overveje og nedskrive, hvordan man som virksomhed skal handle, hvis der skulle ske f.eks. hacking af data.
  10. Cookies

    I det omfang man benytter cookies på hjemmesiden, skal man informere om det og indhente accept fra de besøgende til de enkelte formål med brugen af cookies.
    Der er krav til formuleringen af det samtykke, de besøgende på hjemmesiden skal give til cookies.

Hvad siger Persondatakonsulenten om persondataforordningen?

Måske tror du ikke, at persondataforordningen vil betyde noget for din virksomhed, men så kan du tro om igen. Den nye lov, der indføres til næste år, vil nemlig påvirke langt de fleste virksomheder. Også selv om du ikke er en stor international koncern.

Læs hele artiklen

De rette værktøjer til at overholde persondataloven

  • Er I forvisset om, at I håndterer jeres kunders og medarbejderes persondata helt lovligt?
  • Har I de rette værktøjer til at sikre, at persondatalovgivningen følges?
  • Ved jeres kunder og medarbejdere, om I overholder reglerne?
  • Hvad vil I gøre, hvis der sker hacking eller anden læk af nogle af de vigtigste aktiver – nemlig oplysninger om firmaets kunder eller medarbejdere?

Et stigende antal sager om misbrug og læk af virksomheders persondata trækker overskrifter i medierne. Det skader virksomhedens omdømme, giver mistillid fra kundernes side og kan medføre erstatningskrav.

Kontakt PersondataKonsulenten på 2326 3141 - vi kan hjælpe jer med at sikre efterlevelse af lovgivningen.