Besøksregistrering og personvern – ikke glem de generelle reglene for behandling av personopplysninger

13. januar 2021

Den pågående Covid-19-situasjonen har resultert i at et stort antall bedrifter samler inn personopplysninger om sine besøkende. Enkelte virksomheter har en lovpålagt plikt til å føre et besøksregister, mens andre virksomheter kun er anbefalt å føre et besøksregister. Uavhengig av om man har en plikt til å føre besøksregister eller ei, er det viktig å være oppmerksom på at reglene for behandling av personopplysninger gjelder.

Hva er besøksregistrering?

Besøksregistrering betyr at man fører et registrer over personer som kommer til bedriftens kontorer, lokaler, arrangementer eller lignende. Formålet med et besøksregister er at den enkelte bedrift skal kunne overlevere relevant data i tråd med smittevernlovgivningen. Dette kan typisk aktualisere seg dersom en tidligere besøkende/gjest eller ansatt melder fra om at vedkommende har testet positivt for Covid-19.

Rettslig grunnlag

All behandling av personopplysninger krever et rettslig grunnlag.

For virksomheter som er pålagt å føre et besøksregister, vil det rettslige grunnlaget normalt være forskriftshjemmelen. Lokale forskrifter kan endre seg i tråd med smittesituasjonen, og bedriften må derfor jevnlig forsikre seg om hvilke regler som gjelder.

For virksomheter som selv bestemmer seg for å føre et besøksregister, vil et typisk rettsgrunnlag være en såkalt interesseavveining. Interesseavveiningen innebærer at en virksomhet kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Som et siste alternativ kan man også basere et besøksregister på samtykke fra den besøkende. Personvernforordningen stiller strenge krav til samtykke, og det anbefales derfor at man ved føring av besøksregister baserer seg på hjemmel i lokal forskrift eller en interesseavveining.

Hvilken informasjon kan man samle inn om den besøkende?

Personvernforordningen stiller som krav at man skal minimere mengden av opplysninger som samles inn. Dette betyr at man ikke kan samle inn opplysninger om de besøkende utover det som er nødvendig for å kunne bidra til formålet med innsamlingen – smittesporing.

Normalt sett vil det være tilstrekkelig at man samler inn navn, telefonnummer og dato/klokkeslett for besøket. Videre kan det også være aktuelt å lagre informasjon om hvor i lokalet den besøkende har oppholdt seg, eksempelvis på et konkret møterom.

Informasjonssikkerhet

Personvernforordningen stiller strenge krav til informasjonssikkerhet. Dette betyr at bedriften må lage et system for innsamling, lagring og oversendelse av opplysningene som samles inn. Det sentrale er at opplysningene blir håndtert på en slik måte at uvedkommende ikke får tilgang til opplysningene.

Eksempelvis bør man unngå et listesystem hvor den besøkende ved registrering, ser navnet på tidligere besøkende som allerede har skrevet seg inn i besøksregisteret. 

Enkelte benytter seg av eksterne leverandører for besøksregistrering. I slike tilfeller må bedriften sikre seg at den eksterne leverandører tilbyr en løsning som ivaretar konfidensialitet og informasjonssikkerhet. Dersom den eksterne leverandøren skal behandle personopplysningene på vegne av bedriften, må det også inngås en databehandleravtale med leverandøren.

Sletting

Personopplysninger skal slettes når de ikke lenger er nødvendig for formålet de ble samlet inn for.

Oppfølgingstiden for «nærkontakter» er p.t. 10 dager, se her for oppdaterte karanteneregler. Dette betyr at virksomheten normalt sett ikke har behov for å oppbevare opplysningene i mer enn 10 dager etter at besøket fant sted.

Datatilsynet har på sin nettside anbefalt sletting etter 14 dager, med mindre lokale forskrifter sier noe annet. Vi vil derfor anbefale at bedriften sletter opplysninger i besøksregisteret 14 dager etter at besøket fant sted.

Bruk av opplysninger i besøksregisteret

Dersom formålet med et besøksregister er å bidra til smittesporing, kan opplysningene bare brukes til dette formålet. Bedriften kan eksempelvis ikke benytte opplysningene til senere distribusjon av nyhetsbrev, markedsføringsmateriell eller lignende.

Huskeliste

  • Informer kundene dine om formålet med registeret (hva som samles inn, hvorfor og hvor lenge)
  • Bruk av besøksregister i forbindelse med smittesporing må føres inn i virksomhetens protokoll over behandlingsaktiviteter
  • Registrer kun nødvendige opplysninger
  • Sørg for at opplysningene oppbevares med nødvendig sikkerhet og konfidensialitet
  • Opplysningene kan kun brukes til smittesporing 
  • Slett opplysninger fortløpende etter 14 dager fra registrering
  • Inngå databehandler hvor ekstern leverandør benyttes.  

Vi har tidligere skrevet om at næringslivet blir påført ytterligere byrder fordi Facebook og Google vet «alt» om oss.
Frisøren på hjørnet må blant annet vurdere risiko- og personvernkonsekvenser, oppfylle nye krav til avvikshåndtering og sørge for at han kan oppfylle dine rettigheter etter forordningen.

Kontakt oss

Vi anbefaler at ditt selskap tar personvernsjekken for bedrifter, slik vi kan vurdere om ditt selskap har de rutiner og oversikter som personvernforordningen krever.

Harris Advokatfirma har bistått klienter med å utforme nødvendig dokumentasjon og utarbeide gode rutiner i henhold til personvernforordningen. Ta kontakt med en av våre spesialiserte personvernadvokater dersom du skulle ha spørsmål om personvern.