mail@stormadvokatfirma.dk | 72 30 12 05 | Vi har åbent man-tors 8-16, fre 8-15

corona covid-19 gæster gdpr

Guide: Du kan godt corona-registrere dine gæster og samtidig overholde GDPR

Under Coronakrisen kan du tilbyde at registrere dine gæster på grund af COVID-19. Det kan du fint gøre og stadig overholde GDPR.

Flere virksomheder og organisationer har den fejlopfattelse, at der er svært eller umuligt at overholde de grundlæggende GDPR-regler, når de indsamler oplysninger om gæster mv. som forholdsregel imod CO-VID-19.

Det er imidlertid ikke rigtigt, at man må vælge mellem enten at overholde GDPR, eller foretage COVID-19 bekæmpende foranstaltninger. De to formål kan sagtens opfyldes sammen, uden at give en urimelig eller uforholdsmæssig stor arbejdsbyrde.

Her får du et overblik over, hvordan registreringen af COVID-19 oplysninger kan tilrettelægges på en let og overskuelig måde, som stadig overholder GDPR.

Oplysninger som registreres

De typiske typer af oplysninger som er saglige at indsamle i forhold til COVID-19 opsporing er

  • Navn
  • Telefonnummer
  • Dato og tidspunkt for den fysiske nærhed – fx besøg på restaurant

Hvis der foreligger særlige omstændigheder, kan der efter en konkret vurdering være sagligt behov for yderligere oplysninger. Er personer opdelt i klynger, kan den enkelte persons klynge noteres.

Når oplysningerne registreres, skal virksomheden opfylde en oplysningspligt over for den registrerede. Der kan tages udgangspunkt i den skabelon fra Datatilsynet, som bliver omtalt længere nede i artiklen.

Spar tid og penge

Hvis virksomheden tilbyder tilmeldings- eller billetarrangementer vil mange af de ønskede oplysninger allerede være overgivet til virksomheden i forbindelse med bestilling af billetter eller tilmelding.

Frem for at indhente ekstra samtykkeblanketter fra alle kunderne, ville det være lettere i bestillingsflowet at give oplysning om, hvordan virksomhedens behandler kundens oplysninger ved smitteudbrud eller sporing.

Frivillig registrering af besøgende

Det er væsentligt at registreringen af oplysninger er reelt frivillig, hvis indsamlingen skal baseres på samtykke. Det betyder, at der ikke må stilles krav om at personen lader sig registrere for at opnå adgang, deltagelse eller lign. Hvis registrering ikke er frivillig, kan der ikke afgives et gyldigt samtykke.

Virksomheder som ønsker at afkræve oplysninger skal finde et andet behandlingsgrundlag end samtykke. Det kan muligvis være den almindelige interesseafvejning i persondataforordningen, eller pligt i henhold til lov hvis registrering blive pålagt af lovgiver eller myndigheder.

Obligatorisk registrering af besøgende

Såfremt virksomheden har fået pålagt en obligatorisk pligt, f.eks. fra en myndighed med hjemmel i lov eller bekendtgørelse, vil det som altovervejende hovedregel være lovligt at registrere og indsamle de pågældende oplysninger.

GDPR indeholder bestemmelser om at det er tilladt at behandle personoplysninger, når den pågæl-dende behandling er bestemt ved lov. Det er vigtigt at behandlingen i øvrigt sker forsvarligt og under respekt af de almindelige gældende principper for god databehandlingsskik.

Endeligt bør det sikres, at behandlingen ikke går ud over det pålagte. Hvis der udstedes et offentlig pålæg om registrering af kontaktoplysninger til sporing og varsel om COVID-19 smitte, må de regi-strerede oplysninger ikke bruges til f.eks. markedsføring og tilbudsmails.

Når virksomheden ønsker at kræve oplysninger

Det er ikke fastlagt i retspraksis præcist hvor langt virksomheden må gå i forhold til egenhændigt at kræve oplysninger til værn mod COVID-19 som betingelse for adgang eller deltagelse.

Dog er der stærke argumenter for, at registrering af relevante oplysninger til bekæmpelse af COVID-19 og beskyttelse af folkesundheden må tillades under den almindelige interesseafvejning i personda-taforordningens artikel 6, stk. 1, litra f).

Sletning af oplysninger

Oplysningerne må kun gemmes så længde dette er sagligt og nødvendigt. Det er en vurdering som virksomheden selv foretager, dog skal der være en slettefrist og den skal være begrundet.

Datatilsynet har anbefalet en slettefrist på 4 uger.

Hjælp og vejledning fra Datatilsynet

Datatilsynet har udgivet en artikel med 6 gode råd om registrering af restaurantgæsters besøg, men principperne kan også med fordel benyttes i andre typer af sammenlignelig virksomheder.

Du kan læse de 6 gode råd her

Datatilsynet har derudover offentliggjort en skabelon til samtykke for registrering gæsters kontaktinformation, som kan findes her