Bekendtgørelse om behandling af personoplysninger i den digitale løsning Coronapas § 5

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 30 af 11. januar 2022

§ 5

Lagring af og adgang til oplysninger på brugerens telefon er efter artikel 5, stk. 3 i Europa-Parlamentets og Rådets direktiv nr. 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), betinget af, at brugeren har afgivet samtykke i overensstemmelse med artikel 4, nr. 11, og artikel 7, jf. artikel 94-95, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), efter at have modtaget fyldestgørende information om lagringen af oplysninger på brugerens terminaludstyr. Øvrig behandling af personoplysninger, der foretages i forbindelse med drift og anvendelse af løsningen, er reguleret af denne bekendtgørelse.

Stk. 2 Der lagres følgende oplysninger på den telefon eller mobile enhed, som den enkelte bruger har installeret løsningen på:

  • 1) AccessToken: Kortlevende adgangsbillet, der kan veksles til et ID-token, og som angiver brugerens identitet og cpr-nummer.

  • 2) NemID token: Et token fra NemId, der repræsenterer brugerens identitet via en PID.

  • 3) RefreshToken: Langlevende token, der kan veksles til et AccessToken. Denne gemmes på brugerens mobile enhed, indtil den udløber, men slettes først, når brugeren åbner løsningen.

  • 4) Coronapas: En række signerede tokens, der indeholder information om brugerens test- og vaccinestatus.

  • 5) Offentlig nøgle.

  • 6) JobID: Et unikt ID, der modtages fra webservicen, såfremt data ikke er klar til at blive hentet, samt fra NAS (National Adviserings Service), når data efterfølgende bliver klar til at blive hentet fra webservicen. Dette sendes til løsningen, således at denne kan spørge, om data er klar. Denne slettes senest efter 24 timer, når brugeren åbner løsningen næste gang.

Stk. 3 Oplysninger, der er lagret på den telefon eller mobile enhed, som den enkelte bruger har installeret løsningen på, slettes på følgende måde:

  • 1) Når brugeren sletter løsningen fra enheden, eller trækker sit samtykke som nævnt i stk. 1 tilbage.

  • 2) Ved indrullering på tredje device.

  • 3) Når brugeren logger ud.

  • 4) Hvis brugeren har glemt sin pinkode og derfor logger ud.

  • 5) Efter at brugeren logger ind næste gang, efter at refresh token, som nævnt i stk. 2, nr. 3, er udløbet.