Journalnummer: 2021-431-0128
Resume
Datatilsynet har i marts 2021 afsluttet tilsyn med tre udbydere, som tilbyder COVID-19-test uden forudgående tidsbestilling. Datatilsynet har ført tilsyn med SOS International A/S og Carelink A/S, som i januar 2021 vandt udbuddet af hurtigtest i regionerne. Datatilsynet har yderligere ført tilsyn med Statens Serum Institut, som tilbyder PCR-test uden forudgående tidsbestilling på et af TestCenter Danmarks mobile teststeder.
Tilsynene fokuserede på udbydernes efterlevelse af databeskyttelsesforordningens regler om oplysningspligt, herunder om testudbyderne levede op til reglerne om, at underretning skal gives til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
Datatilsynet fandt, at testudbydernes iagttagelse af oplysningspligten var i overensstemmelse med reglerne. Over for en enkelt udbyder henstillede tilsynet dog, at udbyderen supplerede underretningen af borgeren, som skete i forbindelse med modtagelse af testresultatet, med overordnede informationer på selve teststedet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen om SOS International A/S’ iagttagelse af oplysningspligten ved behandling af personoplysninger i forbindelse med COVID-19 hurtigtest af borgere.
1. Afgørelse
Efter en gennemgang af SOS International A/S’ udtalelse finder Datatilsynet, at SOS International A/S’ behandling af personoplysninger er sket inden for rammerne af databeskyttelsesforordningen[1], jf. artikel 12, stk. 1, og artikel 13.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Der har i forbindelse med det offentliges åbne tilbud om COVID-19 test været presseomtale af forskellige aktørers iagttagelse af databeskyttelsesreglerne.
På baggrund heraf besluttede Datatilsynet at undersøge, hvordan oplysningspligten iagttages, når SOS International A/S foretager COVID-19 hurtigtest af borgere.
Datatilsynet anmodede derfor den 4. februar 2021 SOS International A/S om at oplyse, hvordan SOS International A/S sikrer, at borgere bliver gjort bekendt med, hvordan SOS International A/S behandler oplysninger om de pågældende.
Den 10. februar 2021 fremkom SOS International A/S med en udtalelse.
2.1. SOS International A/S’ bemærkninger
SOS International A/S har oplyst, at der er forskellige måder, hvorpå borgeren gøres bekendt med SOS International A/S’ information om den behandling af personoplysninger, som virksomeden er dataansvarlig for.
Når borgeren besøger SOS International A/S’ hjemmeide for at se, hvilke teststeder SOS International A/S stiller til rådighed, kan borgeren finde SOS International A/S’ privatlivspolitik.
Derudover modtager borgeren en SMS-besked med et link til testresultatet umiddelbart efter testen er udført. Når borgeren klikker på linket, opnås adgang til en krypteret pdf-fil, hvor en kode skal indtastes, før testresultatet vises. På denne side (før koden indtastes) findes et link til SOS International A/S’ privatlivspolitik. Borgeren opnår samme adgang, hvis testresultatet sendes pr. e-mail i stedet for SMS-besked.
SOS International A/S’ privatlivspolitik var vedlagt udtalelsen.
3. Begrundelse for Datatilsynets afgørelse
3.1.
Det følger af databeskyttelsesforordningens artikel 13, stk. 1, at hvis personoplysninger er indsamlet hos den registrerede, skal den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, give den registrerede en række oplysninger, som fremgår af bestemmelsens litra a-f. Udover de oplysninger, der er nævnt i stk. 1, giver den dataansvarlige den registrerede en række yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede, jf. forordningens artikel 13, stk. 2.
Det er Datatilsynets opfattelse, at når oplysningerne indsamles hos den registrerede, skal den dataansvarlig som udgangspunkt give oplysningerne omfattet af artikel 13 samtidig med, at den dataansvarlige indsamler oplysningerne fra den registrerede[2]. Dog kan den dataansvarlige, når den registrerede selv henvender sig til den dataansvarlige, give oplysningerne til den registrerede snarest muligt.
At den dataansvarlige skal give oplysningerne til den registrerede indebærer, at den dataansvarlige skal tage aktive skridt til at give oplysningerne, og det vil derfor ikke være tilstrækkeligt at have oplysningerne liggende på en hjemmeside eller lignende, og hvor det er overladt til den registrerede selv skal finde frem til oplysningerne.
Det følger endvidere af databeskyttelsesforordningens artikel 12, stk. 1, at den dataansvarlige, når denne kommunikerer med den registrerede, skal give enhver oplysning som omfattet af artikel 13 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
3.2.
Efter en gennemgang af SOS International A/S’ privatlivspolitik – som Datatilsynet lægger til grund udgør underretning efter databeskyttelsesforordningens artikel 13 – er det Datatilsynets vurdering, at privatlivspolitikken indeholder de oplysninger, som fremgår af databeskyttelsesforordningens artikel 13, stk. 1 og 2.
For så vidt angår den måde, som underretningen skal ske på, finder Datatilsynet, at en løsning, hvor informationerne (privatlivspolitikken) alene er tilgængelig på SOS International A/S’ hjemmeside, ikke lever op til kravet om, at informationerne skal gives til den registrerede på en tydelig, kortfattet og lettilgængelig måde, jf. databeskyttelsesforordningens artikel 13, stk. 1, jf. artikel 12, stk. 1.
Datatilsynet bemærker hertil, at det må lægges til grund ikke alle borgere, der får foretaget en hurtigtest hos SOS International A/S, kan forventes at besøge SOS International A/S’ hjemmeside, forinden testen foretages
Datatilsynet forstår dog SOS International A/S’ udtalelse således, at borgeren, når denne modtager en SMS-besked med et link til testresultatet umiddelbart efter, at testen er udført, gennem et (andet) link med tydelig henvisning til privatlivspolitikken kan gøre sig bekendt med informationerne nævnt i artikel 13, stk. 1.
Idet SOS International A/S giver informationerne til den enkelte borger, som har fået foretaget en COVID-19 hurtigtest, i umiddelbar forlængelse heraf, finder Datatilsynet efter omstændighederne, at SOS International A/S’ iagttagelse af oplysningspligten i det konkrete tilfælde er inden for rammerne af databeskyttelsesforordningens artikel 13, jf. artikel 12, stk. 1.
Datatilsynet skal imidlertid henstille at SOS International A/S supplerer med overordnede informationer på teststedet med en henvisning til, hvor borgeren kan orientere sig på hjemmesiden.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] https://www.datatilsynet.dk/Media/C/0/Registreredes%20rettigheder.pdf, afsnit 3.3.