Vejledninger fra Datatilsynet om GDPR og Coronavirus
Den aktuelle situation forårsaget af ny coronavirus rejser i praksis også en række forskellige spørgsmål om behandling af persondata. Datatilsynet har i den forbindelse netop offentliggjort to korte vejledninger, hvoraf den første omhandler hvilket omfang arbejdsgivere kan registrere og videregive oplysninger om deres ansatte i anledning af ny coronavirus. Den anden vejledning indeholder nogle gode råd om hjemmearbejde.
Inden for rammerne af databeskyttelsesreglerne kan en arbejdsgiver i vidt omfang registrere og videregive oplysninger, der ikke er så konkrete og specifikke, at de kan anses for helbredsoplysninger, når situationen nødvendiggør det.
Som eksempel herpå nævner Datatilsynet selv oplysninger om, at en ansat er hjemvendt fra et såkaldt ”risikoområde” eller er i hjemmekarantæne (uden nærmere at angive årsagen). Det samme gælder oplysninger om, at en ansat er syg (uden nærmere at angive årsagen).
Efter omstændighederne vil det ifølge Datatilsynet også være berettiget, at arbejdsgiveren registrerer og videregiver oplysninger, der må anses for helbredsoplysninger, f.eks. at en medarbejder er smittet med ny coronavirus. Det kan f.eks. være begrundet i hensynet til, at ledelsen og kollegaer kan træffe de nødvendige forholdsregler.
Datatilsynet understreger dog også, at registreringen eller videregivelsen skal være saglig, ligesom de oplysninger, der registreres og videregives, skal begrænses til det nødvendige. Derfor bør arbejdsgiveren overveje, om der er en god grund til at registrere eller videregive de pågældende oplysninger, og hvor specificeret oplysningerne nu også behøver at være, herunder navnet på den person, der er smittet og/eller i hjemmekarantæne, kan undlades.
De gode råd om hjemmearbejde, som Datatilsynet også har offentliggjort, svarer i vidt omfang til de problemstillinger, man normalt skal være opmærksom – også på arbejdspladsen normalt.
Datatilsynet anbefaler generelt således, at man som virksomhed sørger for at fastlægge og udmelde nogle klare retningslinjer for hjemmearbejdet.
Ligeledes bør de ansatte bruge den anviste sikre adgang til fagsystemer (VPN, direkte opkobling eller andre sikre services) og så vidt muligt det centrale sagsbehandlingssystem, hvor der både er adgangskontrol, dokumentversionering, backup og den generelle sikkerhed på plads. Hvis man har papirer med oplysninger om fysiske personer, skal man sørge for både at opbevare og skaffe dem af vejen på betryggende vis.
Datatilsynet kommer også med anbefalinger om, hvordan man forholder sig, hvis der opstår et akut behov for at lagre dokumenter lokalt (på enheden). Det er i så fald vigtigt, at enheden eller filen med dokumentet er krypteret, og at ingen andre (heller ikke børn) har adgang til enheden. De ansatte skal også have styr på den aktuelle version af filen, så data ikke fortabes eller bliver forkerte, og at filen bliver uploadet til sagsbehandlingssystemet, så snart det er muligt, og den lokale version slettes.