App för verifiering av vaccinationsbevis
Myndigheten för digital förvaltning (DIGG) har tagit fram en applikation för att skanna vaccinationsbevis. Vi använder den då det är krav från myndigheter att kontrollera deltagares vaccinationsstatus.
Det är den personuppgiftsansvarige som ska fastställa ändamålet för behandlingen av personuppgifter i samband med användande av applikationen. Den personuppgiftsansvarige är införstådd i att personuppgifter behandlas och inför användning av applikationen ska en rättslig grund fastställas i enlighet med artikel 6 dataskyddsförordningen (GDPR). Därutöver är den personuppgiftsansvarige införstådd i att personuppgifter som behandlas utgör så kallade särskilda kategorier av personuppgifter och ska säkerställa att ett undantag för sådana personuppgifter föreligger i enlighet med artikel 9 GDPR.
Den personuppgiftsansvarige åtar sig att följa samtliga tillämpliga regelverk i samband med att applikationen används. Det handlar bland annat om följande.
- Applikationen är skapad i syfte att verifiera covidbevis utifrån vaccination mot covid-19. Det är den personuppgiftsansvarige som ska fastställa ändamålet för behandlingen av personuppgifter i samband med användande av applikationen.
- Den personuppgiftsansvarige är införstådd i att personuppgifter behandlas och inför användning av applikationen ska en rättslig grund fastställas i enlighet med artikel 6 dataskyddsförordningen (GDPR).
- Därutöver är den personuppgiftsansvarige införstådd i att personuppgifter som behandlas utgör så kallade särskilda kategorier av personuppgifter och ska säkerställa att ett undantag för sådana personuppgifter föreligger i enlighet med artikel 9 GDPR.
- Rättsliga grunder för behandling av personuppgifter i syfte att verifiera vaccinationsbevis framgår av artikel 6 GDPR.
En anordnare är utifrån vissa reglerade förutsättningar skyldiga att kontrollera vaccinationsbevis, vilket framgår i (Förordning (2021:8) om särskilda begränsningar för att förhindra spridning av sjukdomen covid-19). Av regelverket framgår att den information som behöver kontrolleras utgörs av förnamn, efternamn, födelsedatum, antal doser vaccin, vilken typ av vaccin, om vaccinationsbeviset är giltigt och när senaste dosen vaccin togs. (Förordning (2021:8) om särskilda begränsningar för att förhindra spridning av sjukdomen covid-19 och Föreskrift HSLF-FS 2021:87).
Behandlingen av personuppgifterna är nödvändig för att fullgöra vår rättsliga förpliktelse som personuppgiftsuppgiftsansvarig enl artikel 6.1 c) GDPR.
Enligt artikel 9.1 GDPR, 3 kap. 1 § Lag (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordningen (dataskyddslagen), råder en presumtion om att all behandling av känsliga personuppgifter är tillåten. Behandling får endast göras om något av undantagen i artikel 9.2 GDPR är tillämpliga.
Kravet att kontrollera vaccinationsbevis framgår dels av föreskriften (se ovan), förordningen (se ovan) och har sin juridiska nationella grund i Lag (2021:4 om särskilda begränsningar för att förhindra spridning av sjukdomen covid-19. Samtliga nationella regleringar medges i EU-förordningen (EU) 2021/953 och (EU) 2021/954. I nationell reglering (Förordning (2021:8) om särskilda begränsningar för att förhindra spridning av sjukdomen covid-19 och Föreskrift HSLF-FS 2021:87) framgår att personuppgifter får behandlas för reglerade ändamålet.
En behandling av känsliga personuppgifter anses tillåten i artikel 9.2 g) GDPR, 3 kap. 3 § Dataskyddslagen, med hänsyn till ett viktigt allmänt intresse utifrån nationell rätt.
En proportionalitetsbedömning av nyttan i förhållande till ändamålen har genomförts i promemorian Vaccinationsbevis som smittskyddsåtgärd, Socialdepartementet S2021/06359 s. 53 ff.
Klagomålshantering
Den registrerade har rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY) om denna anser att användaren av applikationen behandlat personuppgifter i strid med dataskyddsförordningen. Klagomål ska då alltid riktas mot den personuppgiftsansvarige eller i tillämpliga fall personuppgiftsbiträdet.Vår
Information om vårt dataskyddsombud finns på huvudsidan för vår information om GDPR och personuppgiftshantering.