Koronavirus og GDPR

Artikkel

COVID-19, ditt arbeidsmiljø og dine helseopplysninger

Hvordan sikre godt smittevern og personvern samtidig?

Vi står i dag overfor en ekstraordinær krisesituasjon. Koronaviruset skaper usikkerhet, redsel og forvirring, og medfører konsekvenser for enkeltpersoner så vel som virksomheter.

Både enkeltpersoner og arbeidsgivere foretar nødvendige steg for å redusere smittespredning. Mange av stegene vil involvere behandling av personopplysninger, mange lurer blant annet på balansegangen mellom en nødvendig informasjonsflyt på arbeidsplassen og hensynet til den enkeltes personvern. Dette gir usikkerhet rundt hvilken informasjon som faktisk kan deles. 

Personvernmyndighetene i flere land har nå gått ut med retningslinjer og informasjon i relasjon til koronaviruset. Dette gjelder også vårt eget Datatilsyn som nylig kom med en informativ artikkel om koronasmitte og personvern.

I denne artikkelen skal enkelte spørsmål knyttet til GDPR besvares: Hva er egentlig en helseopplysning? Er du som privatperson bevisst hvilke helseopplysninger du velger å dele? Og er du som arbeidsgiver klar over hvilken informasjon om koronasmitte du kan videreformidle?

Hva er en helseopplysning?

GDPR skal beskytte våre personopplysninger og sikre at personopplysninger behandles på en sikker måte. Kort fortalt er «personopplysninger» alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson.  

I tillegg finnes det kategorier av såkalte «sensitive personopplysninger», eller særlig kategori av personopplysninger som GDPR kaller det. Dette er opplysninger som er så sensitive at de krever et særlig godt vern. Helseopplysninger er et eksempel på særlig kategori av personopplysninger. Med «helseopplysninger» menes «personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand.» For denne typen personopplysninger oppstiller personvernregelverket enda strengere regler for behandling. Behandling av slike personopplysninger krever et ekstra juridisk behandlingsgrunnlag.

I utgangspunktet er det forbudt å behandle slike helseopplysninger. Likevel oppstilles visse unntak i personvernregelverket, behandling kan eksempelvis gjennomføres ved blant annet eksplisitt samtykke fra den registrerte og i de tilfeller hvor behandlingen er nødvendig av allmenne folkehelsehensyn. Informasjon om at personer eksempelvis er smittet av korona er følgelig en helseopplysning som må følge de særlige strenge kravene til behandling i GDPR. Dette må virksomheter være klar over i sitt daglige virke fremover. 

På Datatilsynets nye temaside om korona og personvern, oppstilles en oversiktlig liste over hvilke opplysninger som utgjør en helseopplysning:

  • Opplysninger om at noen er smittet med koronavirus er å regne som en helseopplysning.
  • Opplysninger om at en ansatt har returnert fra et såkalt "risikoområde" er ikke å regne som en helseopplysning.
  • Opplysninger om at noen er satt i karantene (uten å gi nærmere informasjon om årsaken) er ikke å regne som en helseopplysning.

Deling av egne helseopplysninger 

Som en følge av stadig økende smittespredning iverksettes flere og flere initiativ og tiltak. Enkelte av disse initiativene og tiltakene forsøker å registrere og systematisere antallet smittede. 

Et eksempel er den nylig lanserte nettsiden World Citizen Report (https://world-citizen-report.com/). Denne nettsiden åpner opp for at enkeltpersoner kan registrere helseopplysninger om seg selv, herunder hvorvidt man er smittet av koronaviruset eller ikke, om man har symptomer på sykdom, hvorvidt man har vært i kontakt med smittede eller har vært ute og reist, etc. I tillegg registrerer du fullt navn og adresse. For å dele helseopplysningene må man samtykke til at opplysningene behandles ved å trykke på en knapp på nettsiden. Da samtykker man til at opplysningene blir lagret og analysert og til at opplysningene kan bli overført til nasjonale helsemyndigheter. Det opplyses om at samtykket når som helst kan trekkes tilbake. 

Slike initiativ og tiltak kan potensielt bidra til å kartlegge, og eventuelt begrense, smittespredning. Likevel er det viktig å være bevisst på hvilke helseopplysninger man deler, hvem man deler disse opplysningene med og hva opplysningene skal brukes til. Det er lurt å tenke seg ekstra godt om før man deler sine helseopplysninger på denne måten.  

Når dine opplysninger registreres har du som registrert flere rettigheter etter GDPR. Du har blant annet rett til å få klar og tydelig informasjon, rett til innsyn og rett til sletting. Det er viktig å være klar over at disse rettighetene eksisterer, og hvordan, og til hvem du kan rette begjæringen om eksempelvis innsyn til dersom det blir aktuelt. 

GDPR stiller krav til at personopplysninger skal ha tilfredsstillende informasjonssikkerhet. Dette innebærer at personopplysninger kan sikres ved konfidensialitet, integritet og tilgjengelighet. Blant annet er det i relasjon til informasjonssikkerhet viktig å sikre at uvedkommende ikke får tilgang til opplysningene og at informasjonen ikke blir endret av uvedkommende. Dette er spesielt viktig når det er tale om helseopplysninger. 

Det er særlig viktig å være klar over ivaretakelsen av den registrertes rettigheter, og iverksetting av informasjonssikkerhet ved nylig opprettede initiativer som det ovenfor nevnte. Det er ikke utenkelig at slike initiativer opprettes raskt og uten at alle krav som stilles etter GDPR er tenkt på eller ivaretatt. 

Hva må arbeidsgiver tenke på ved deling av helseopplysninger?

Antallet koronasmittede øker daglig og dette påvirker naturligvis enkeltpersoner, men også arbeidslivet i stor grad. Mange opplever at kollegaer blir smittet, og arbeidsgiver kommer da i en situasjon hvor de må og bør informere de øvrige ansatte som smittesituasjonen på kontoret. Kan informasjon om smittede kollegaer fritt deles til de øvrige ansatte? 

European Data Protection Board (EDPB) uttalte 16. mars 2020 at GDPR ikke er til hinder for iverksettelse av tiltak for å bekjempe en pandemi som koronaviruset er.  Likevel legges det vekt på at behandlingsansvarlig (eksempelvis arbeidsgiver) må overholde reglene om sikring av personopplysninger til tross for den ekstraordinære situasjonen vi står overfor. Dette innebærer at arbeidsgivere som behandler personopplysninger om sine ansatte fortsatt må være bevisste på reglene i GDPR og personopplysningsloven og passe på at regelverket overholdes ved deling av informasjon.  

Når det gjelder arbeidsgivere uttaler EDPB videre at GPDR åpner opp for at arbeidsgivere kan behandle personopplysninger i relasjon til koronaviruset uten samtykke fra den registrerte. Dette gjelder eksempelvis i de tilfeller arbeidsgivers behandling av personopplysninger er nødvendig av allmenne folkehensyn eller for å overholde øvrige regelverk. 

Ifølge Information Commissioner’s Office (ICO) kan arbeidsgivere holde sine ansatte oppdaterte om potensiell koronasmitte på arbeidsplassen, men arbeidsgiveren må huske på at det sannsynligvis er unødvendig å navngi den smittede ansatte. I tillegg legges det vekt på at man ikke skal frigi mer informasjon enn nødvendig.  

Hvorvidt arbeidsgivere kan dele informasjon i forbindelse med koronasmittede ansatte omtales også på Datatilsynets temaside. Personvernregelverket inneholder for eksempel regler om at arbeidsgivere kan behandle sensitive personopplysninger, herunder helseopplysninger, når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. Datatilsynet deler videre inn informasjonen i ulike kategorier, blant annet informasjon til ansatte og informasjon til utenforstående. 

Når det gjelder arbeidsgivers informasjon til ansatte, fremholder Datatilsynet at opplysninger om at en ansatt er i karantene ikke utgjør en helseopplysning, men at det fortsatt er en personopplysning. Det stilles dermed krav til behandlingen av opplysningene. Videre peker Datatilsynet på at både arbeidsmiljøloven og smittevernloven inneholder begrensninger om hvilke opplysninger de ansatte er pliktige til å opplyse om, og hvorvidt arbeidsgiver kan behandle disse opplysningene. Datatilsynet fremhever at arbeidsgiver kan, om det anses som nødvendig for å sikre et forsvarlig arbeidsmiljø, gi informasjon internt i virksomheten om at en ansatt er smittet eller er i karantene. I en slik situasjon må arbeidsgiver passe på at den ansattes integritet og verdighet ivaretas. 

Informasjon om koronasmittede ansatte skal ikke gis til utenforstående. Det samme gjelder informasjon om hvorvidt enkeltansatte er i karantene. Dersom utenforstående ønsker å få kontakt med en ansatt som er smittet eller i karantene, oppfordrer Datatilsynet arbeidsgivere til kun å gi informasjon om at den ansatte er fraværende eller utilgjengelig. Datatilsynet viser til at det kan være hensiktsmessig å inkludere den konkrete ansatte i vurderingen, slik at man sammen kommer frem til en god måte å kommunisere på. Videre opplyses det om at virksomheten bør utforme en plan for å informere utenforstående dersom hele eller store deler av virksomheten er ute av kontoret på grunn av karantene eller andre situasjoner.

Datatilsynets temaside finner du her.

Har du spørsmål?

Situasjonen rundt koronaviruset er i stadig utvikling og nye rettsspørsmål oppstår derfor løpende. Ta kontakt med oss for råd og annen rettslig bistand i forbindelse med koronaviruset og GDPR.

Var denne siden nyttig?