Runt om i Europa överväger medlemsstater att använda sig av digitala smittspårningstjänster för att övervaka och begränsa spridningen av coronaviruset. Är detta förenligt med gällande dataskyddslagstiftning?
Datainspektionen har publicerat information om användning av digital smittspårning med anledning av COVID-19. Informationen bygger delvis på Europeiska Dataskyddsstyrelsens (”EDPB”) yttrande om personuppgiftsbehandling i samband med coronaviruset.
Digital smittspårning kan innebära inhämtning av individers platsdata via appar eller mobilnät, vilket gör att både GDPR och ePrivacy direktivet blir tillämpligt. Enligt ePrivacy direktivet kan lokaliseringsdata endast behandlas om datan är anonym eller med individens samtycke. EDPB råder myndigheter som vill utnyttja sådana tjänster att i första hand använda sig av anonymiserad data, vilket innebär att personuppgifter inte behandlas och gällande dataskyddslagstiftning inte blir tillämplig. Om personuppgifter ändå ska behandlas ger ePrivacy direktivet medlemsstaterna möjlighet till legislativa åtgärder för att skydda allmänhetens säkerhet om det är nödvändigt, lämpligt och proportionerligt. För privata aktörer som vill samla in platsdata via digitala smittspårningstjänster bör istället samtycke användas som laglig grund för personuppgiftsbehandlingen.
Med hänsyn till att smittspårning utgör en integritetskänslig form av personuppgiftsbehandling framhåller EDPB och Datainspektionen vikten av att vidta åtgärder för att skydda personuppgifterna. Sådana åtgärder är bl.a. uppgiftsminimering, regelbunden gallring efter uppnått ändamål och behörighetsbegräsning. Implementering av digitala smittspårningstjänster kräver även förhandssamråd med Datainspektionen och konsekvensbedömning i enlighet med GDPR. I Sverige är Post- och Telestyrelsen tillsynsmyndighet för regler gällande lokaliseringsdata i appar och mobilnät. Datainspektionen är tillsynsmyndighet för behandling av personuppgifter.
Datainspektionens information hittar du här.
EDPB:s yttrande hittar du här.
Om ni vill veta mer om digitala smittspårningstjänster eller har andra frågor om dataskydd är ni välkomna att kontakta Alexander Berger, ansvarig för Compliance på TIME DANOWSKY Advokatbyrå.
