Journalnummer: 2021-431-0129
Resume
Datatilsynet har i marts 2021 afsluttet tilsyn med tre udbydere, som tilbyder COVID-19-test uden forudgående tidsbestilling. Datatilsynet har ført tilsyn med SOS International A/S og Carelink A/S, som i januar 2021 vandt udbuddet af hurtigtest i regionerne. Datatilsynet har yderligere ført tilsyn med Statens Serum Institut, som tilbyder PCR-test uden forudgående tidsbestilling på et af TestCenter Danmarks mobile teststeder.
Tilsynene fokuserede på udbydernes efterlevelse af databeskyttelsesforordningens regler om oplysningspligt, herunder om testudbyderne levede op til reglerne om, at underretning skal gives til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
Datatilsynet fandt, at testudbydernes iagttagelse af oplysningspligten var i overensstemmelse med reglerne. Over for en enkelt udbyder henstillede tilsynet dog, at udbyderen supplerede underretningen af borgeren, som skete i forbindelse med modtagelse af testresultatet, med overordnede informationer på selve teststedet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen om Carelink A/S’ iagttagelse af oplysningspligten ved behandling af personoplysninger i forbindelse med COVID-19 hurtigtest af borgere.
1. Afgørelse
Efter en gennemgang af Carelink A/S’ udtalelse finder Datatilsynet, at Carelink A/S’ behandling af personoplysninger er sket i overensstemmelse med reglerne i databeskyttelsesforordningen[1], jf. artikel 12, stk. 1, og artikel 13.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Der har i forbindelse med det offentliges åbne tilbud om COVID-19 test været presseomtale af forskellige aktørers iagttagelse af databeskyttelsesreglerne.
På baggrund heraf besluttede Datatilsynet at undersøge, hvordan oplysningspligten iagttages, når Carelink A/S foretager COVID-19 hurtigtest af borgere.
Datatilsynet anmodede derfor Carelink A/S den 4. februar 2021 om at oplyse, hvordan Carelink A/S sikrer, at borgere bliver gjort bekendt med, hvordan Carelink A/S behandler oplysninger om de pågældende.
Den 12. februar 2021 fremkom Carelink A/S med en udtalelse.
2.1. Carelink A/S’ bemærkninger
Carelink A/S har oplyst, at virksomheden udleverer et fysisk dokument med information om, hvordan virksomheden behandler personoplysninger i forbindelse med en COVID-19 Antigentest (lyntest). Informationen udleveres efter det oplyste til alle borgere, der får foretaget en lyntest i et af Carelink A/S’ fem testcentre.
3. Begrundelse for Datatilsynets afgørelse
3.1.
Det følger af databeskyttelsesforordningens artikel 13, stk. 1, at hvis personoplysninger er indsamlet hos den registrerede, skal den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, give den registrerede en række oplysninger, som fremgår af bestemmelsens litra a-f. Udover de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede en række oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede, jf. forordningens artikel 13, stk. 2.
Det følger endvidere af databeskyttelsesforordningens artikel 12, stk. 1, at den dataansvarlige skal give enhver oplysning som omfattet af artikel 13 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
3.2.
Datatilsynet finder, at Carelink A/S’ information om behandling af personoplysninger indeholder de oplysninger, som fremgår af databeskyttelsesforordningens artikel 13, stk. 1 og 2.
Ved at udlevere informationen til alle borgere, der bliver testet i et af Carelink A/S’ fem testcentre, sikrer Carelink A/S sig endvidere, at alle borgere samtidig med indsamling af personoplysninger bliver gjort bekendt med informationerne på en tydelig, kortfattet og lettilgængelig måde, jf. databeskyttelsesforordningens artikel 13, jf. artikel 12, stk. 1.
Datatilsynet finder således, at Carelink A/S’ information om behandling af personoplysninger i forbindelse med COVID-19 Antigentest lever op til databeskyttelsesforordningens artikel 12, stk. 1, og artikel 13.
Datatilsynet skal afslutningsvis bemærke, at Carelink A/S i sin information oplyser, at retsgrundlaget for behandlingen er §§ 1-2 og 4 i bekendtgørelse om private testudbyderes anmeldelse af positive resultater af test for COVID-19 med henblik på smitteopsporing og kompensation, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra g, jf. artikel 6, stk. 1, litra b, c og f, jf. databeskyttelseslovens § 7, stk. 4.
Datatilsynet skal i den forbindelse oplyse, at det følger af bemærkningerne til epidemiloven[2], at behandlingen af personoplysninger, som kan ske i medfør af loven, vurderes at have hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra c og e, idet behandlingen vil udgøre en retlig forpligtelse eller vil være nødvendig af hensyn til opgaver i samfundets interesse.
Det fremgår derudover, at der med epidemiloven er hjemmel til at behandle personoplysninger omfattet af forbuddet mod behandling i artikel 9, stk. 1, idet behandlingen vil være nødvendig af hensyn til væsentlige samfundsinteresser, jf. artikel 9, stk. 2, litra g, og behandlingen er nødvendig af hensyn til forebyggende medicin (eller sygdomsbekæmpelse), jf. artikel 9, stk. 2, litra h, og af hensyn til samfundsinteresser på folkesundhedsområdet, jf. artikel 9, stk. 2, litra i.
Der er således med epidemiloven er skabt et retligt grundlag, som ophæver forbuddet i databeskyttelsesforordningens artikel 9, stk. 1, mod behandling af særlige kategorier af personoplysninger.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 285 af 27. februar 2021