Covid-19 har skapat oöverträffade utmaningar för organisationer över hela världen. På kort tid har organisationerna varit tvungna att snabbt inrätta fjärrverksamhet, reagera snabbt på nya risker, anpassa processerna och samtidigt upprätthålla GDPR-överensstämmelse.
Till följd av pandemin samlar organisationer nu in och behandlar nya typer av information om enskilda personer. Mycket av denna information faller inom kategorierna "personuppgifter" och "särskilda kategorier av personuppgifter", som båda omfattas av strikta krav på efterlevnad enligt GDPR.
Den snabba övergången till distansarbete har också visat hur viktigt det är med dataskydd eftersom cyberkriminella försöker utnyttja pandemin och använda den som ett sätt att lansera riktade attacker. Nya cybersäkerhetsrisker dyker upp hela tiden, så det är avgörande att organisationer genomför rätt åtgärder som behövs för att upprätthålla den strängaste datasäkerhet som GDPR kräver.
Den brittiska informationsmyndigheten ICO (Information Commissioner's Office ) har sagt att de förstår de svårigheter som organisationer för närvarande står inför och att de kommer att tillämpa en "rimlig och pragmatisk" strategi för att upprätthålla dataskyddsförpliktelser. De har dock klargjort att organisationer fortfarande i hög grad förväntas upprätthålla en god efterlevnad av GDPR samtidigt som de anpassar sig till denna nya arbetsmiljö.
För att se till att din organisation fortsätter att följa GDPR under Covid-19 har vi beskrivit ett antal åtgärder som du kan vidta.
Bästa tipsen för att uppnå GDPR-överensstämmelse under Covid-19
1. Gör en konsekvensbedömning av dataskyddet (DPIA)
För att följa GDPR måste du kunna visa att du uppfyller ytterligare krav på registrering när du behandlar känsliga uppgifter. Eftersom hälsouppgifter klassificeras som en "särskild kategori av personuppgifter" innebär de en högre risk. Ett sätt att visa ansvarsskyldighet och se till att lämpliga åtgärder vidtas för att skydda dessa uppgifter är genom en konsekvensbedömning av dataskydd. En konsekvensbedömning hjälper till att identifiera och minimera risker i samband med behandling av personuppgifter.
DPIA bör innehålla följande:
- Den verksamhet som behandlas.
- Risker för dataskydd
- Om verksamheten är nödvändig och proportionerlig.
- Hur riskerna kommer att minskas.
- Bekräftelse på att begränsningen har varit effektiv.
DPIA är avgörande för att visa att du uppfyller kraven och minska riskerna för din organisation i samband med dataskydd.
2. Samla in och behandla endast det som är nödvändigt.
Enligt GDPR måste organisationer ha en specifik och legitim anledning att samla in och behandla personuppgifter. Uppgifterna får endast användas för specifika ändamål och får inte behandlas för något annat ändamål, såvida inte den registrerade har gett sitt uttryckliga samtycke. Alla uppgifter som samlas in måste begränsas till vad som är nödvändigt för att uppnå dessa specifika ändamål.
Detta innebär att din organisation bör bedöma och identifiera de typer av personuppgifter som behöver behandlas för att skydda personalen. Är det till exempel nödvändigt att utföra temperaturkontroller när de anställda kommer in på kontoret? Bör kontaktpersoner till en anställd som testar positivt för Covid-19 underrättas? Din organisation kan inte bara samla in personuppgifter på grund av att de kan vara användbara i framtiden, utan det måste finnas tydliga mål för varför dessa uppgifter behandlas. Om du kan visa att ditt tillvägagångssätt är rimligt, rättvist och proportionerligt i förhållande till omständigheterna är det osannolikt att det är olagligt.
3. Var öppen
När du behandlar personuppgifter måste du vara öppen och ärlig om vad du gör med dem. Om din organisation till exempel behöver genomföra tester för anställda eller om du måste samla in uppgifter för att spåra kontakter, måste du vara öppen och göra viss information tillgänglig för dessa personer. Anställda har rätt att få veta varför du behöver dessa uppgifter, vad du tänker göra med dem och vem du kommer att dela dem med.
Det är bäst att ha denna information nedskriven i ett dokument som kallas integritetsmeddelande. Ett integritetsmeddelande är ett av de viktigaste dokumenten som du måste ta fram om du behandlar personuppgifter för att följa GDPR. I huvudsak förklarar det hur du samlar in, behandlar och använder människors uppgifter. Ditt befintliga integritetsmeddelande kanske redan beskriver vilka uppgifter som kan samlas in och behandlas under en hälsokris, men det kan behöva uppdateras för att återspegla eventuella nya databehandlingsaktiviteter som genomförs under den nuvarande Covid-19-pandemin.
4. Håll informationen säker
Alla personuppgifter som du har måste förvaras på ett säkert sätt och endast så länge som det är nödvändigt. En lagringspolicy hjälper till att avgöra när personuppgifter måste ses över, raderas eller bortskaffas. Fysiska register bör låsas in för att förhindra dataintrång, och lämpliga säkerhetsåtgärder bör vidtas för att skydda personuppgifter som lagras digitalt.
Trots den snabba övergången till distansarbete har ICO förklarat att organisationer bör vidta samma slags säkerhetsåtgärder som de skulle använda under normala omständigheter. För att förhindra brott mot personuppgifter och minska risken för en kostsam cyberattack är det viktigt att du upprätthåller säkerheten i system och programvara och att du är vaksam på Coronavirusrelaterade cyberhot. Anställda kommer också att behöva utbildas om de hot som utvecklas och utbildas i hur man använder de nya säkerhetsverktygen och processerna som kommer att möjliggöra säkert distansarbete.
Dessutom är organisationer fortfarande juridiskt skyldiga att avslöja brott mot personuppgifter för den relevanta tillsynsmyndigheten inom 72 timmar efter upptäckt.
5. Respektera den registrerades rättigheter
Även om du arbetar under exceptionella omständigheter är det viktigt att din organisation informerar enskilda personer om deras rättigheter när det gäller deras personuppgifter. Dataskyddsförordningen ger följande rättigheter för enskilda personer:
- Rätten att bli informerad - Individer har rätt att bli informerade om insamlingen och användningen av deras personuppgifter.
- Rätten till tillgång - Individer har rätt att få tillgång till sina personuppgifter och all kompletterande information. De kan begära en kopia av all information som finns om dem och den ska tillhandahållas kostnadsfritt och inom en månad efter det att begäran lämnats in.
- Rätt till rättelse - Enskilda personer kan begära att felaktiga personuppgifter rättas.
- Rätt till radering - Enskilda personer kan begära att få sina personuppgifter raderade. Rätten till radering kallas också rätten att bli bortglömd.
- Rätten att begränsa behandlingen - Under vissa omständigheter kan enskilda personer begära att ytterligare behandling av deras uppgifter begränsas. När behandlingen är begränsad har du tillstånd att lagra deras personuppgifter men inte använda dem.
- Rätten till dataportabilitet - Enskilda personer kan få tillgång till och återanvända sina personuppgifter för sina egna syften i andra tjänster.
- Rätten att invända - Om det inte finns legitima skäl för att behandla en individs personuppgifter har denne rätt att invända mot behandlingen.
- Rättigheter i samband med automatiserat beslutsfattande och profilering - Dataskyddsförordningen innehåller bestämmelser om automatiserat individuellt beslutsfattande. Detta minskar risken för att negativa beslut fattas utan mänskligt ingripande.
Om din organisation har infört symtomkontroll eller testning finns det ytterligare krav som du måste följa. Det handlar bland annat om att identifiera en laglig grund för att använda den information du samlar in och att genomföra en konsekvensbedömning om hälsouppgifter behandlas i stor skala.