COVID-19:Drei Datenschutztipps für die EU und das Vereinigte Königreich

Während sich Unternehmen an die COVID-19-Pandemie anpassen, Die Herausforderungen bei der Verwaltung von Remote-Mitarbeitern und deren Wunsch nach Informationen über die Auswirkungen des Virus haben erhebliche Auswirkungen auf den Datenschutz. Während die Leitlinien des Europäischen Datenschutzausschusses („EDPB“) bestätigen, dass die DSGVO den Kampf gegen die Pandemie nicht behindern sollte, auch in diesen außergewöhnlichen Zeiten, Unternehmen müssen weiterhin die Datenschutzrechte des Einzelnen wahren.

Wir teilen hier unsere drei wichtigsten Tipps für diejenigen, die die Einhaltung des Datenschutzes überwachen. auf der Grundlage der Leitlinien des EDSA, VEREINIGTES KÖNIGREICH, Französisch, Deutsche und irische Aufsichtsbehörden. Links zu den Leitlinien anderer Behörden finden Sie hier.

Identifizieren und adressieren Sie neue Herausforderungen der Datensicherheit . Da viele Mitarbeiter jetzt remote arbeiten, Bedenken hinsichtlich der Datensicherheit müssen berücksichtigt werden, da es erforderlich ist, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ( DSGVO Artikel 5(1)(f) und 32 ) gilt innerhalb und außerhalb des Büros gleichermaßen. Die COVID-19-Leitlinien des britischen Information Commissioner’s Office (das „ICO“) fordern Unternehmen auf, „ Berücksichtigen Sie die gleichen Sicherheitsmaßnahmen für die Heimarbeit, die Sie unter normalen Umständen anwenden würden “.

Unternehmen möchten ihre Mitarbeiter daher möglicherweise daran erinnern, dass sie:

• den unbefugten Zugriff auf personenbezogene Daten durch Familienmitglieder zu verhindern, Mitbewohner oder andere Personen im Haus durch Teilen, praktisch, leicht umsetzbare Strategien wie das Verstauen von Arbeitspapieren am Ende eines jeden Tages außer Sichtweite;
• sich außerhalb des Büros an die bestehenden Datenschutzbestimmungen halten. Zum Beispiel, Mitarbeiter sollten keine privaten E-Mail-Konten für geschäftliche Zwecke verwenden, selbst wenn Remote-Zugriffstools unter Druck stehen; und
• bleiben Sie wachsam gegenüber Hackern, die versuchen, die Krise durch Phishing-E-Mails und andere Angriffe auszunutzen, in unserer COVID-19-Cybersicherheits-Checkliste näher besprochen.

Sammeln, Teilen und behalten Sie so wenig Informationen wie nötig . Das Sammeln und Teilen von COVID-19-bezogenen Daten muss sorgfältig überlegt werden. Während der ICO-Leitfaden besagt, dass Unternehmen ihre Mitarbeiter rechtmäßig über COVID-19-Fälle innerhalb der Organisation auf dem Laufenden halten können, es erinnert Unternehmen daran, Informationen nur dann weiterzugeben, wenn es wirklich notwendig ist.

Die ICO schlägt vor, dass die Benennung betroffener Personen in den meisten Kontexten unnötig ist und vermieden werden sollte. Leitlinien der Deutschen Datenschutzkonferenz, eine Gruppe von Datenschutzbeauftragten des Bundes und der Länder, unterstützt diesen Ansatz, besagt, dass die Identität einer infizierten Person vertraulich behandelt werden muss, es sei denn, es gibt keine andere Möglichkeit, Vorkehrungen zum Schutz anderer zu treffen. Erweist sich die Nennung einer Person als unvermeidlich, Unternehmen sollten den Grund dokumentieren und die EDPB-Leitlinien befolgen, um die Person zu informieren, bevor ihr Name bekannt gegeben wird.

Unternehmen müssen auch beim Sammeln von COVID-19-bezogenen Informationen umsichtig sein. Obwohl vorerst nur wenige Organisationen physische Besucher empfangen werden, diejenigen, die es sind, sollten sie bitten, nur die Informationen bereitzustellen, die zum Schutz der Mitarbeiter des Unternehmens wirklich erforderlich sind. Gleiches gilt für Mitarbeiter. Die ICO-Anleitung legt nahe, dass es vernünftig ist, die Menschen zu fragen, ob sie bestimmte vom Virus betroffene Länder besucht haben oder Symptome im Zusammenhang mit COVID-19 haben. Ähnlich, Anleitung der französischen Aufsichtsbehörde, die CNIL, schlägt vor, dass Arbeitgeber einzelne Mitarbeiter einladen können, Informationen über ihre eigene medizinische Situation oder eine potenzielle Exposition gegenüber dem Virus auszutauschen, weist die Unternehmen jedoch an, keine pauschalen medizinischen Fragebögen bereitzustellen oder obligatorische Temperaturkontrollen einzuführen.

Im Zusammenhang damit, die COVID-19-Leitlinien der irischen Datenschutzkommission erinnern Unternehmen daran, ihren Transparenzpflichten bei der Erhebung von COVID-19-bezogenen Daten nachzukommen, einschließlich der klaren Angabe des Zwecks, für den die Daten erhoben werden und wie lange sie aufbewahrt werden. Außerdem, alle erhobenen Daten müssen geschützt und angemessen entsorgt werden; Die deutschen Leitlinien erinnern Unternehmen daran, dass Daten, die zur Bewältigung dieser Krise erhoben wurden, nicht für andere, nicht damit verbundene Zwecke verwendet werden können und gelöscht werden sollten, sobald sie nicht mehr benötigt werden.

Führen Sie detaillierte Aufzeichnungen über COVID-19-bezogene Datenverarbeitungsentscheidungen und -auswirkungen . Im Einklang mit dem Rechenschaftsprinzip der DSGVO und den Aufzeichnungspflichten ( Artikel 5 Absatz 2 und 30 ), Unternehmen sollten den Entscheidungsprozess, der COVID-19-bezogenen Maßnahmen im Zusammenhang mit personenbezogenen Daten zugrunde liegt, und Schritte aufzeichnen, die zur Gewährleistung der Einhaltung des Datenschutzes ergriffen wurden. Dazu gehört auch die Erfassung der Rechtsgrundlage für die Verarbeitung der Daten; typischerweise, entweder Notwendigkeit aus „Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“ ( Artikel 9(2)(i) ) oder Notwendigkeit zur Erfüllung von „Verpflichtungen im Bereich der Beschäftigung“, wenn lokale Gesetze Unternehmen zum Schutz ihrer Mitarbeiter verpflichten ( Artikel 9 Absatz 2 Buchstabe b ).

Es ist wahrscheinlich, dass viele Unternehmen Schwierigkeiten haben werden, ihren Datenschutzpflichten nachzukommen - zum Beispiel Reaktion auf Auskunfts- und andere Rechteanfragen betroffener Personen – aufgrund von personellen oder technologischen Problemen, die durch die Pandemie verursacht wurden. Die ICO-Anleitung besagt, dass sie keine Organisationen bestrafen wird, die "in dieser außergewöhnlichen Zeit andere Bereiche priorisieren oder ihren Ansatz anpassen müssen". in Anbetracht der Möglichkeit, dass andere Aufsichtsbehörden möglicherweise weniger nachsichtig sind, eine bewährte Methode wäre, die Gründe für Verzögerungen oder Ausfälle sorgfältig aufzuzeichnen, und gleichzeitig Belege zu sammeln und aufzubewahren.