GDPR och Corona – vad ska vi tänka på?

I samband med Coronavirusets spridning så har många arbetsgivare kommunicerat interna riktlinjer för hur anställda ska förhålla sig till kunder, leverantörer och besökare. Många arbetsgivare har också infört restriktioner kring tjänsteresor och privata resor samt infört eller uppmanat till karantän och arbete hemifrån. Vid den här typen av situationer aktualiseras vissa dataskyddsrelaterade frågeställningar, inte minst eftersom det rör sig behandling av hälsouppgifter för vilka det finns särskilda restriktioner kring i GDPR. Här kommer några tips på vad din organisation behöver tänka på.

Vad är personuppgifter om hälsa och med vilken laglig grund får dessa uppgifter behandlas?

Personuppgifter om hälsa är alla de uppgifter som hänför sig till en individs hälsotillstånd som ger information om tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Hälsouppgifter utgör enligt artikel 9 i GDPR en särskild kategori av personuppgifter, s k känsliga personuppgifter, som är särskilt skyddsvärda och därmed åtnjuter restriktioner för hur de får behandlas.

Enligt GDPR måste all behandling av personuppgifter vila på en rättslig grund. En grundläggande förutsättning för behandling är således att någon av de rättsliga grunder som anges i artikel 6 i GDPR är tillämpliga. När det gäller behandling av uppgifter om anställda så är anställningsavtalet enligt artikel 6.1 b som huvudregel den lagliga grunden för behandling.

När det gäller känsliga personuppgifter, är huvudregeln i artikel 9 att det är förbjudet att behandla personuppgifter om bl.a. hälsa men det finns vissa undantag från förbudet. Känsliga personuppgifter får enligt artikel 9.2 b i GDPR behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter inom arbetsrätten. Enligt GDPR är det också tillåtet att utfärda nationella villkor för behandling av vissa typer av känsliga personuppgifter, vilket i svensk rätt har kommit till uttryck när det gäller arbetsrättsliga skyldigheter i bl.a. 3 kap 2 § i lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Får vi behandla uppgifter om att en medarbetare kan vara smittad av Coronavirus och får vi informera övriga medarbetare om det?

Uppgift om att någon är smittad av Coronavirus räknas som en personuppgift om hälsa. I dataskyddslagstiftningen finns bestämmelser som innebär att arbetsgivare får behandla känsliga personuppgifter när det är nödvändigt för att arbetsgivaren ska kunna fullgöra sina skyldigheter inom arbetsrätten. Det finns därmed möjlighet att behandla uppgift om att en anställd kan vara smittad av Coronaviruset. Eftersom arbetsgivaren ansvarar för hälsa och säkerhet på arbetsplatsen är den anställde skyldig att informera sin arbetsgivare om eventuell smitta, men arbetsgivaren bör överväga att inte behandla fler uppgifter än vad som förekommer vid en vanlig sjukskrivning.

Enligt nyligen publicerad vägledning från Datainspektionen anses uppgift om att en anställd har återvänt från ett så kallat riskområde däremot inte som en hälsouppgift, inte heller uppgift om att en medarbetare är satt i karantän.

Arbetsgivare har enligt arbetsrätten en skyldighet att garantera medarbetares hälsa och säkerhet. Som ett led i det arbetet ska personalen hållas informerad om smittspridning på arbetsplatsen. Däremot bör enskilda individer inte namnges, det bör i regel räcka att kommunicera att ett fall konstaterats på arbetsplatsen. 

Behöver vi informera våra medarbetare?

Det är viktigt att vara tydlig i kommunikationen till medarbetare om hur organisationen arbetar med att motverka smittspridning, vilka uppgifter som kan komma att samlas in om de anställda och för vilket ändamål samt vart en anställd kan vända sig för att få veta mer om vilken information som behandlas om denne. Detta innebär att arbetsgivaren måste vidta aktiva åtgärder för att ge informationen till anställda eller aktivt hänvisa till den plats där informationen finns (t.ex. webbplats). Detta ska ske i samband med att personuppgifterna samlas in.

Vilka säkerhetsåtgärder behöver vår organisation vidta när det gäller behandling av hälsouppgifter?

För att inte bryta mot GDPR är det viktigt att ha i åtanke att iaktta försiktighet och inte samla in för mycket information om medarbetare, och framför allt inte dela informationen för brett i organisationen. Se till att den krets av medarbetare som hanterar information om anställda är strikt begränsad. När det gäller möjligheter för medarbetare att arbeta hemifrån, behöver arbetsgivare beakta samma säkerhetsåtgärder som skulle vidtas på arbetsplatsen under normala omständigheter.

Hur hanterar vi besökare till vår arbetsplats med anledning av Coronaviruset?

Det går alldeles utmärkt att ha generell information om vad som gäller för besökare på arbetsplatser, däremot är det inte relevant eller adekvat för ändamålet att behandla besökares hälsouppgifter vad gäller eventuell Coronasmitta eller kartläggning av besök i riskområden.

Får vi som arbetsgivare kartlägga våra anställdas resor?

GDPR hindrar inte att en arbetsgivare i viss mån kartlägger sina anställdas resor och hälsotillstånd. Det kan till exempel finnas skäl att registrera vilka medarbetare som befunnit sig i ett riskområde, om det varit en tjänsteresa eller en privat resa, men inte detaljer om vilka aktiviteter en medarbetare utfört under semestern.

Får vi behandla uppgift om att närstående till medarbetare är smittade?

En central princip i GDPR handlar om att man inte får samla in fler personuppgifter än vad som är nödvändigt för ändamålet, och att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Om en anställd är satt i karantän beroende på att närstående till den anställde har rapporterats smittad, är det inte relevant för arbetsgivaren att behandla uppgifter om den närståendes identitet. 

Hur länge får vi spara hälsouppgifter rörande Coronasmitta?

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Det betyder att så fort det inte finns ett syfte med att behandla uppgifter om t.ex. sjukskrivning så måste de raderas. Som arbetsgivare har man en skyldighet att spara personuppgifter med hänsyn till annan lagstiftning, såsom t.ex. sjuklönelagen och arbetsmiljölagen. Av skäl 39 GDPR framgår att en personuppgiftsansvarig ska ta fram tidsfrister för gallring och regelbundet kontrollera att radering sker i enlighet med dessa.