Styrelsen for Patientsikkerhed er ansvarlig for at stille en digital løsning til rådighed for de borgere, der har downloadet den digitale løsning ”Smittestop” samt formidle oplysninger om, at en bruger af løsningen har været i elektronisk kontakt med andre brugere af kontaktopsporings- og advarselsmobilapplikationer, som nævnt i § 3, nr. 5, der har fået bekræftet, at de har Coronavirussygdom 2019 (COVID-19). Styrelsen for Patientsikkerhed er dataansvarlig for den behandling af personoplysninger, der er omfattet af denne bekendtgørelse, jf. § 2, stk. 2. Styrelsen for Patientsikkerhed udarbejder forud for denne behandling af personoplysninger en konsekvensanalyse i overensstemmelse med artikel 35 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) og fastsætter i forlængelse heraf foranstaltninger for at imødegå de identificerede risici.
Stk. 2 Løsningens overordnede formål er at forebygge og hindre udbredelse og smitte af Coronavirussygdom 2019 (COVID-19). Løsningen har i den forbindelse til formål at bidrage til at bryde smittekæder ved at give mulighed for, at brugere af løsningen kan få elektronisk meddelelse om, at de har været i elektronisk kontakt med andre brugere af løsningen, der er bekræftet smittet med Coronavirussygdom 2019 (COVID-19), og dermed er i risiko for at være blevet smittet med Coronavirussygdom 2019 (COVID-19).
Stk. 3 Lagring af og adgang til oplysninger på brugerens telefon er efter bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (cookiebekendtgørelsen) betinget af, at brugeren har afgivet samtykke i overensstemmelse med artikel 4, nr. 11, og artikel 7 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), efter at have modtaget fyldestgørende information om lagringen af oplysninger på brugerens terminaludstyr. Øvrig behandling af personoplysninger, der foretages i forbindelse med drift og anvendelse af løsningen, er reguleret af denne bekendtgørelse.
Stk. 4 Styrelsen for Patientsikkerhed må ikke behandle de personoplysninger, der behandles i medfør af denne bekendtgørelse til andre formål, end de formål der er nævnt i stk. 2, medmindre der er tale om anonymisering med henblik på viderebehandling til videnskabelige eller statistiske formål, eller behandlingen af personoplysningerne følger af reglerne i arkivloven. Styrelsen for Patientsikkerhed må alene behandle personoplysninger nævnt i 1. pkt. i det omfang, det er nødvendigt for at varetage de formål, der er nævnt i 1. pkt. eller i stk. 2. Styrelsen for Patientsikkerheds behandling af personoplysninger er herudover underlagt de begrænsninger, der følger af § 5.