Dataskyddsförordningen hindrar inte arbetsgivare från att vidta nödvändiga åtgärder för att minska smittspridningen. Men det är viktigt att samtidigt värna anställdas integritet och skydd för personuppgifter. Arbetsgivaren bör alltid dokumentera vilka åtgärder som har vidtagits och vilka bedömningar som har gjorts.
Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men arbetsgivare får behandla känsliga personuppgifter när det är nödvändigt för att kunna fullgöra sina skyldigheter inom arbetsrätten. Arbetsgivaren ska bland annat vidta alla åtgärder som behövs för att förbygga att arbetstagare utsätts för ohälsa.
När det gäller coronaviruset och personuppgifter är det viktigt att känna till följande:
Uppgifter om att en anställd har återvänt från ett så kallat riskområde anses inte som en personuppgift om hälsa.
Uppgifter om att någon är i ”karantän” (med innebörden att denne av försiktighetsskäl inte vistas på arbetsplatsen) anses inte som en personuppgift om hälsa.
Den anställde ska få information om hur hans eller hennes personuppgifter behandlas, till exempel i vilket syfte. En arbetsgivare måste alltid skydda de personuppgifter som behandlas genom att vidta nödvändiga säkerhetsåtgärder.
Frågor och svar
Får en arbetsgivare informera anställda om att en kollega kan ha smittats av coronaviruset?
Arbetsgivaren har skyldighet att vidta alla åtgärder som behövs för att förbygga att arbetstagare utsätts för ohälsa. Om möjligt ska arbetsgivaren informera övriga berörda anställda utan att nämna namnet på kollegan som eventuellt smittats.
Om arbetsgivaren bedömer att det är absolut nödvändigt att avslöja vem som smittats ska den anställde i fråga informeras om detta i förväg. Arbetsgivaren bör också vidta åtgärder för att skydda den anställdes integritet.
Som alltid gäller att arbetsgivaren inte ska registrera eller lämna ut fler uppgifter än vad som är nödvändigt för att uppnå syftet. Utöver dataskyddsreglerna finns det regler om tystnadsplikt och sekretess som kan påverka vilka uppgifter om anställdas sjukdom som en arbetsgivare får lämna ut.
Får vi sprida informationen om att en anställd arbetar hemma efter att denne varit utomlands i ett riskområde?
Det är tillåtet att informera internt om att en anställd arbetar hemifrån och om hur denne kan nås. Datainspektionen rekommenderar dock att arbetsgivare inte uppger den direkta orsaken.
När det gäller att informera personer utanför organisationen, bör arbetsgivaren noga överväga vilka som behöver få informationen.
Obs! Uppgifter om att en anställd har återvänt från ett så kallat riskområde anses inte som en personuppgift om hälsa. Får vi samla in kontaktuppgifter till närmast anhöriga från våra anställda?
Både arbetsgivare och anställda har ofta ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig till den anställda vid olyckshändelse eller sjukdom under arbetstid.
Datainspektionen anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning eller, om arbetsgivaren är en myndighet, ett allmänt intresse.
Får en arbetsgivare mäta arbetstagarnas eller kundernas kroppstemperaturer?
Att mäta enskildas kroppstemperatur är ett betydande integritetsintrång. Att bedöma arbetsgivares rätt att göra kontroller och arbetstagares skyldighet att genomgå kontrollerna styrs dock i huvudsak av arbetsrättsliga regler och omfattas inte av Dataskyddsförordningen.
Om en arbetsgivare väljer att registrera personuppgifter från kontrollen, till exempel i ett it-baserat besökssystem, omfattas däremot behandlingen av dataskyddsförordningen. En sådan registrering av personuppgifter är normalt inte tillåten.
Får en arbetsgivare ensidigt bestämma om anställda måste arbeta hemifrån eller vara på kontoret med anledning av coronaviruset?
Frågor om ifall en arbetsgivare får kräva eller förbjuda att anställda arbetar hemifrån är inte en dataskyddsfråga. Den faller därmed utanför Datainspektionens verksamhetsområde.
Källa: Datainspektionen
