How should I handle existing data collection on my employees' immunization status?
Summary:
The existing data collections (e.g. in the form of lists) must be deleted, as the purpose of the collection no longer exists due to the discontinuation of the legal regulation.
Background Information:
The basis for the data processing and the obligation to provide evidence was § 28b III IfSchG. The principle of purpose limitation applies to deletion. Whether the purpose has ceased to exist or not cannot be determined completely conclusively. Bettina Gayk, State Commissioner for Data Protection in Nordrhein-Westfalen opine that the data should now be deleted.
From the press release of the State Commissioner for Data Protection in Nordrhein-Westfalen dated 23.03.2022, the following is stated: „Mit der Änderung des Infektionsschutzgesetztes vom 20. März 2022 entfällt die Verpflichtung zum Nachweis der Impfung, der Genesung oder der Negativ-Testung (3G-Nachweis) am Arbeitsplatz. „Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehme ich zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen: Die von den Arbeitgeber*innen erhobenen Daten müssen spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten.“
In general, companies must delete personal data when it is no longer necessary for the purposes for which it was collected or otherwise processed. The purpose of data processing thus determines the permissible duration of storage of the processed data. This so-called purpose limitation principle is one of the key principles of European data protection. Companies may only collect personal data for predetermined, explicit and legitimate purposes. In addition, you may not further process this data in a way that is incompatible with the original purposes (Art. 5(1)(b) DSGVO). At the latest, when personal data is no longer necessary for the purposes for which it is processed, the company must delete this data.