Covid-19: att tänka på vid behandling av personuppgifter

Av: Advokatfirman Delphi Ämne: Arbetsrätt, JUNO Nyheter, Covid-19, Hälso och sjukvård, GDPR 2020-04-02

Coronaviruset aktualiserar flera frågor kring behandlingen av personuppgifter, framför allt med koppling till arbetslivet. Peter Nordbeck och Adam Odmark, advokat respektive biträdande jurist från Advokatfirman Delphi, skriver om de viktigaste aspekterna som en arbetsgivare bör tänka på.

Behandlingen måste uppfylla de grundläggande principerna för personuppgiftsbehandling

I artikel 5 GDPR finns grundläggande principer för personuppgiftsbehandling. Samtliga dessa principer måste vara uppfyllda när en arbetsgivare behandlar personuppgifter med anledning av coronaviruset. Här nedan nämner vi några som har praktisk betydelse.

Ändamålsbegränsning

Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

I praktiken innebär denna princip att arbetsgivaren får samla in personuppgifter för att uppfylla ändamålen att förebygga smittspridning på arbetsplatsen (arbetsmiljöarbete), administration och kommunikation i anledning av coronaviruset. Som vi beskriver nedan under avsnittet information, måste arbetsgivaren informera individen vars personuppgifter behandlas om ändamålet med behandlingen. Denna information kan lämpligen lämnas när den samlas in eller senast när den kommuniceras ut.

Arbetsgivaren får behandla uppgifterna även för andra ändamål, men dessa ändamål får inte vara oförenliga med det ursprungliga ändamålet. För att illustrera denna princip kan man enkelt uttrycka den på det här sättet: om en individ typiskt sett rimligen borde räkna med att personuppgifterna även behandlas för det nya ändamålet kan det nya ändamålet inte anses oförenligt med det ursprungliga. Om arbetsgivaren t.ex. skulle använda personuppgifter som samlats in i anledning av coronaviruset för prestationsmätning, är förmodligen det nya ändamålet oförenligt med det ursprungliga och behandlingen därför otillåten.

Uppgiftsminimering

Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Här kan man läsa in ett krav på proportionalitet. I praktiken innebär det att arbetsgivaren i första hand ska undvika att behandla personuppgifter i sin kommunikation angående coronaviruset. Det kanske är tillräckligt att lämna generell information i stället. Om det är nödvändigt att behandla personuppgifter bör man se till att behandla så få uppgifter som möjligt.

Lagringsminimering

Principen om lagringsminimering är mycket generell och innebär att uppgifter inte får sparas under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifter behandlas.

GDPR ger inte några ytterligare riktlinjer men i praktiken innebär principen att arbetsgivaren får spara olika typer av uppgifter olika länge. Uppgifter som är av betydelse för bokföringen – t.ex. lönerelaterade uppgifter – får sparas i sju år. Normalt räcker det dock att spara uppgifter om att en person har varit sjukfrånvarande för att uppfylla detta ändamål. Uppgifter på intranätet som pekar ut en medarbetare som coronasmittad får naturligtvis inte sparas lika länge. Arbetsgivaren måste ta bort informationen när den inte längre är nödvändig för att uppfylla arbetsgivarens arbetsmiljöansvar.

Sammanfattningsvis har uppgifter som pekar ut en person som coronasmittad eller potentiellt coronasmittad ett förhållandevis kort bäst före-datum och bör normalt raderas när personen inte längre bedöms utgöra en smittorisk.

Integritet och konfidentialitet

Denna princip uttrycker att det måste finnas en tillräcklig säkerhet för personuppgiftsbehandlingen. Arbetsgivaren måste även se till att hanteringen av behörigheter på arbetsplatsen medför att endast de anställda som har ett berättigat intresse av att ta del av personuppgifter som rör anställda och coronaviruset har tillgång till uppgifterna. Det kan t.ex. röra sig om personal på HR-avdelningen som fått ansvar för arbetet med att förebygga att coronasmitta sprider sig på arbetsplatsen.

Uppgifter om hälsa – t.ex. uppgifter om att en anställd är smittad av coronaviruset – ska inte skickas med e-post. Om uppgifterna ska skickas utanför organisationen ska de krypteras. Undvik att spara känsliga personuppgifter lokalt. Det är mycket svårare att se till att reglerna i GDPR följs om de sprids på allt för många händer. Säkerställ i stället att informationen lämnas samlat, t.ex. på intranätet.

Rättslig grund för personuppgiftsbehandling
För att personuppgiftsbehandlingen ska vara tillåten måste någon av de rättsliga grunderna i artikel 6 GDPR vara tillämplig. Flera av de rättsliga grunderna är tillämpliga vid arbetsgivarens behandling av personuppgifter med anledning av coronaviruset. Uppgifter som rör en persons hälsotillstånd – oavsett om det är fråga om konstaterat eller befarat coronavirus eller något annat sjukdomstillstånd – kan dock inte enbart stödjas på någon av de rättsliga grunderna i artikel 6. För att behandling av uppgifter om hälsa ska kunna ske måste även något av undantagen i artikel 9 vara tillämpligt (se avsnittet om personuppgifter om hälsa nedan).

Samtycke är inte en lämplig rättslig grund med hänsyn till att ett samtycke måste vara frivilligt och att det sällan är det i anställningsförhållanden med hänsyn till den beroendeställning som den anställde står i gentemot arbetsgivaren.

Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras (Artikel 6.1 b) GDPR)

Denna rättsliga grund kan tillämpas bland annat på arbetsgivarens skyldighet att betala ut lön.

Nödvändigt för att fullgöra rättslig förpliktelse (Artikel 6.1 c) GDPR)

Denna rättsliga grund kan användas för arbetsgivarens arbetsrättsliga förpliktelser. Den kan t.ex. vara aktuell att tillämpa vid behandling av personuppgifter i samband med bedömningar av vilka personer som kan ha varit utsatta för smittorisk – d.v.s. som ett led i fullgörandet av arbetsgivarens ansvar för arbetsmiljön.

Intresseavvägning (Artikel 6.1 f) GDPR)

En intresseavvägning kan användas för personuppgiftsbehandling inom ramen för arbetsgivarens fullgörande av arbetsledningsrätten.

Behandling av uppgifter om hälsa
Om s.k. känsliga personuppgifter, bland annat uppgifter om hälsa, behandlas måste – förutom stöd enligt artikel 6 – behandlingen även ha stöd av något av undantagen från förbudet att behandla känsliga personuppgifter i artikel 9 GDPR.

Som även Datainspektionen anger i sin vägledning om coronavirus och personuppgifter, är det inte alla uppgifter om viruset som utgör en uppgift om hälsa och därmed en känslig personuppgift:

# Uppgift om att en anställd är smittad av coronaviruset är en uppgift om hälsa.

# Uppgift om att anställda är i preventiv karantän är inte en uppgift om hälsa.

# Uppgift om att någon anställd har återvänt från ett riskområde är inte en uppgift om hälsa.

# Uppgift om att en person har varit i kontakt med en viss person eller har besökt ett visst resmål är inte en uppgift om hälsa.

Arbetsgivaren får typiskt sett behandla även uppgifter om hälsa med anledning av coronaviruset, eftersom det är nödvändigt för att fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Det följer av Artikel 9.2 b) GDPR och 3 kap 2 § dataskyddslagen. Det är framför allt fullgörande av arbetsgivarens skyldigheter vad gäller arbetsmiljön och arbetsgivarens arbetsledningsrätt som motiverar undantag från det generella förbudet att behandla känsliga personuppgifter. Arbetsgivarens behandling av uppgifter om hälsa är också tillåten om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk. Det följer av artikel 9.2 f) GDPR.

Information
Det är lämpligt att kontrollera vilken information om personuppgiftsbehandling som har lämnats i företagets integritetspolicy och till de anställda på företaget. I många fall tar troligtvis informationen som lämnats till de anställda inte tillräcklig höjd för en behandling av anställdas personuppgifter med anledning av coronaviruset. De anställda som eventuellt berörs av behandlingen får då i stället informeras på annat lämpligt sätt. Tänk på att informationen ska uppfylla de krav som anges i artikel 13 och artikel 14 GDPR. I praktiken kan hänvisning ske till den information som arbetsgivaren tidigare har lämnat till de anställda – i form av en länk eller motsvarande – med tillägg för nya ändamål, eventuellt nya mottagare av uppgifterna och information om hur länge personuppgifterna sparas.

Sammanfattning
Arbetsgivaren har långtgående möjligheter att informera om coronaviruset på arbetsplatsen och i övrigt behandla personuppgifter i anledning av viruset. Det beror på att personuppgiftsbehandlingen samspelar med arbetsrätten. Personuppgifter – även känsliga personuppgifter – får därför i många fall behandlas med stöd av att det är nödvändigt för att uppfylla arbetsgivarens arbetsledningsrätt. Personuppgifter (inklusive känsliga personuppgifter) får även behandlas bland annat för att det är nödvändigt för att utföra arbetsgivarens övriga rättigheter och för att uppfylla arbetsrättsliga förpliktelser – inte minst för att fullgöra arbetsgivarens skyldigheter vad gäller arbetsmiljön.

Det är som alltid viktigt att inte flera personuppgifter än nödvändigt behandlas. Beroende på omständigheterna kan det vara tillräckligt att lämna generell information utan att en enskild medarbetare pekas ut. Välj i så fall att endast lämna generell information.

Tänk på att bäst före-datumet för en uppgift om att en person är eller har varit coronasmittad är kortare än en mindre precis uppgift om sjukfrånvaro. När information om en persons konstaterade eller befarade coronasmitta inte längre behövs i arbetsmiljöarbetet bör den normalt sett raderas.

För att inte personuppgifter som rör smittade medarbetare eller som i övrigt är av känslig natur ska spridas ut på för många händer med följd att det är svårt att kontrollera att de behandlas enligt reglerna i GDPR, är det olämpligt att skicka e-post med uppgifterna i. Det är bättre att samla information på ett ställe, till exempel på intranätet. Känsliga personuppgifter måste vidare vara krypterade innan de skickas över öppna nät.

av: Peter Nordbeck och Adam Odmark, advokat och delägare respektive biträdande jurist, Advokatfirman Delphi.

JUNO Nyheter
Denna artikel är ursprungligen publicerad 2020-04-02 i JUNO:s nyhetstjänst som dagligen bevakar ett brett spektrum av rättsområden. Nu ges möjlighet att prova JUNO och nyhetstjänsten fritt i två veckor.