Personvern: COVID-19 og GDPR
Utbruddet av koronaviruset COVID-19 reiser flere problemstillinger hva gjelder hvilke opplysninger en virksomhet kan og ikke kan behandle av personopplysninger.
«Helseopplysninger»
GDPR oppstiller forskjellige krav til behandling av personopplysninger avhengig av hvorvidt en opplysning er å anse som «helseopplysning» eller ikke.
Datatilsynet har i en nylig publisert veiledning uttalt følgende:
- Opplysninger om hvorvidt man (i) har vært på ferie i eller returnert fra et «risikoområde» eller (ii) opplysninger om at noen er i karantene (uten å gi informasjon om bakgrunnen for dette) er ikke å regne som en «helseopplysning» (særskilt kategori av personopplysninger) i henhold til GDPR Art. 4 Nr. 15.
Dette innebærer at det særskilte reglene om behandlingsgrunnlag etter GDPR Art. 9 (særlige kategorier av opplysninger) ikke gjelder behandling av denne type opplysninger.
- Opplysninger om man er smittet av COVID19 er en «helseopplysning» etter GDPR Art. 4 Nr. 15.
Hvilke personopplysninger knyttet til COVID-19 kan en arbeidsgiver behandle?
I utgangspunktet er det forbudt å behandle helseopplysninger med mindre man har et behandlingsgrunnlag i henhold til GDPR Art. 9. Datatilsynet mener at arbeidsgivere har behandlingsgrunnlag til å behandle denne type opplysninger i henhold til GDPR Art. 9 Nr 2 b) og Personopplysningsloven § 6. Det pekes på at arbeidsgiver vil ha tilstrekkelig behandlingsgrunnlag for å behandle opplysninger om man er smittet eller ikke dersom det anses nødvendig for å «sikre et forsvarlig arbeidsmiljø». Datatilsynet uttaler videre at en virksomhet innad i bedriften har anledning til å opplyse internt i virksomheten om at en ansatt er smittet dersom det anses nødvendig for å sikre et forsvarlig arbeidsmiljø.
Utad kan arbeidsgiver imidlertid ikke dele denne type informasjon, og arbeidsgiver har etter Datatilsynets syn heller ikke anledning til å opplyse at ansatte sitter i karantene. Utad bør det bare opplyses om at en ansatt er fraværende.
Kan arbeidsgiver selv kartlegge opplysninger knyttet til COVID-19?
I sin uttalelse behandler Datatilsynet først og fremst situasjonen dersom en ansatt selv opplyser arbeidsgiver om man har vært i et risikoområde, sitter i karantene eller er smittet av COVID-19. Her kan altså arbeidsgiver behandle disse opplysningene (forutsatt at alle øvrige krav i GDPR overholdes).
Et annet spørsmål er om en arbeidsgiver av eget tiltak kan spørre ansatte om de har vært i risikoområder, eller har vært i nærkontakt med smittede.
Datatilsynet gir liten veiledning her, men i den grad slik kartlegging anses nødvendig for å sikre et forsvarlig arbeidsmiljø bør det trolig være adgang til slik kartlegging ut i fra arbeidsgivers berettigete interesse i å kartlegge risiko i egen virksomhet. Selv om dette da ikke blir behandling av helseopplysninger.
En slik kartlegging vil være i tråd med anbefalingen fra det danske Datatilsynet. Det er uheldig at det norske Datatilsynet ikke er like konkret som sine kolleger i Danmark er i denne forbindelse. Det kan ikke utelukkes at det bør komme ytterligere veiledning fra det europeiske personvernrådet (EDPB), for å sikre ensartet anbefaling på dette området.
Vi vil anbefale at det foretas en konkret vurdering dersom virksomheten tar sike på å kartlegge egen virksomhet og alle disse vurderingene og avveiningene dokumenteres.
Det er også viktig at all behandling av personopplysninger oppfyller de generelle kravene i GDPR, blant annet informasjon til ansatte, tilgangskontroll og rutiner for sletting av informasjonen.
Ta kontakt med advokat Petter Bjerke eller Kaja Kaarby dersom du har spørsmål knyttet til behandling av personopplysninger knyttet til COVID-19 i din virksomhet.
Last ned teksten i brosjyreformat ved å trykke på PDF-lenken nedenfor.
Se også vår samleside med relevante artikler og informasjon knyttet til COVID-19.