Covid-19 och GDPR: Vad bör du som arbetsgivare tänka på?

2020-03-20

Till följd av Corona-utbrottet har många arbetsgivare ansträngt sig för att minska smittspridningen och skydda sin personal. Som en del av detta arbete har mycket information om anställdas resor och om sjukdom på kontoret samlats in. Dataskyddsförordningen hindrar inte arbetsgivare från att vidta nödvändiga åtgärder för att minska smittspridningen. Men det är viktigt att samtidigt värna anställdas integritet och skydd för personuppgifter. Här nedan ger vi några förslag på hur man bör tänka vid sådan personuppgiftsbehandling.

Information om en persons hälsa klassificeras som en känslig personuppgift och den får endast behandlas om det finns särskilda skäl för behandlingen. Det är därför viktigt att sådan information behandlas med försiktighet.

Enligt Datainspektionens vägledning är uppgifter om att en anställd sitter i karantän (som inte innehåller närmare uppgifter om orsaken) eller att denne besökt ett riskområde inte kvalificerade som känsliga personuppgifter. Dock är en uppgift om att någon är satt i karantän till följd av sjukdom eller med stöd av smittskyddslagen sannolikt en känslig personuppgift.

Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men arbetsgivare får behandla känsliga personuppgifter när det är nödvändigt för att kunna fullgöra sina skyldigheter inom arbetsrätten.

Europeiska dataskyddsstyrelsen (EDPB) har även förtydligat att det i vissa fall kan vara möjligt att behandla känsliga personuppgifter om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet om det finns stöd i lag, eller om det är nödvändigt för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen.

För att minska risken för att behandling av personuppgifter sker i strid med GDPR är det viktigt att hänsyn tas till vissa grundläggande principer. Detta är särskilt viktigt om det rör sig om känsliga personuppgifter.

  • Tydligt syfte: Uppgifterna får endast samlas in om det finns ett tydligt syfte för insamlingen. Överväg alltid om det finns ett sätt att uppnå samma syfte utan att behandla personuppgifter, eller utan att behandla känsliga personuppgifter.
  • Transparens och uppgiftsminimering: Var öppen och tydlig med vilken information ni samlar in och som ni kan komma att dela med andra anställda. Se även till att en så liten grupp som möjligt har tillgång till den information som samlats in.
  • Den anställdes integritet: Det är viktigt att ta hänsyn till den anställde genom att enbart dela så lite information som möjligt om denne. Ofta bör det vara tillräckligt att tillkännage att en anonym anställd blivit smittad. Om det är nödvändigt att tillkännage den smittades namn så ska informationen delas med en så liten grupp personer som möjligt och den anställde ska informeras om detta i förväg. Arbetsgivare bör vara extra försiktiga när det kommer till att dela information med kunder eller andra personer utanför organisationen.

Datainspektionen uppdaterar löpande sin hemsida med mer information:
https://www.datainspektionen.se/nyheter/coronavirus-och-personuppgifter/

Europeiska dataskyddsstyrelsen (EDPB) uppdaterar även sin hemsida med information:
https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_sv

Contact me and learn more