”Coronaviruset och GDPR – vad måste jag tänka på som arbetsgivare?”

Med anledning av coronaviruset uppkommer frågeställningar angående vad man som arbetsgivare får registrera om en persons hälsa och vilka inom en organisation som får ha tillgång till informationen. Nedan följer en kort redogörelse för vad du som arbetsgivare bör tänka på.

När det gäller databehandling av hälsouppgifter sätter dataskyddsförordningen upp särskilda restriktioner i artikel 9, där det anges att hälsouppgifter är extra skyddsvärda och därmed normalt inte får databehandlas av arbetsgivare. Datainspektionen har vidare meddelat att uppgifter om att en person är smittad av coronaviruset räknas som en sådan hälsouppgift som avses i artikel 9 och fråga uppstår då om man som arbetsgivare överhuvudtaget får behandla uppgifter kring viruset och anställda.

I dataskyddsförordningen (GDPR) finns undantag som gör det möjligt för arbetsgivare att i vissa fall behandla personuppgifter om hälsa om uppgifterna behövs för att arbetsgivaren ska kunna fullgöra sina skyldigheter inom arbetsrätten. Och eftersom du som arbetsgivare ansvarar för säkerhet och hälsa på arbetsplatsen kan det vara nödvändigt att behandla uppgifter om att anställd är smittad av coronaviruset, t ex på grund av eventuell smittspridning till övriga anställda. Du bör dock vara extra försiktig med hur uppgifterna kring anställds smitta behandlas i företagets datasystem och bara registrera dessa uppgifter om det verkligen behövs. Lagstiftningen ger också möjligt att informera om befarad smittspridning på arbetsplatsen men tänk då på att inte namnge de smittade personerna. Viktigt också, är att inte behandla fler uppgifter än nödvändigt och att dela informationen med så få medarbetare som möjligt, dvs håll informationen på sk ”need-to-know basis”, endast de som verkligen behöver informationen ska få tillgång till den – ingen annan. Glöm inte heller att ge de berörda möjlighet att få veta vilken information som samlas in om dem och hur de ska få tillgång till uppgifterna!

Slutligen uppstår fråga om hur länge uppgifter som behandlats med anledning av coronaviruset, får sparas. Där gäller precis samma regler som för alla andra personuppgifter, dvs att uppgifterna får sparas så länge som de är nödvändiga för ändamålet med behandlingen och därefter ska de raderas. Innan du raderar uppgifterna tänk dock på att även iaktta lagstiftning som t ex arbetsmiljölagen och sjuklönelagen och fundera på om de regler som uppställs i dessa lagar gör att du måste spara uppgifterna ytterligare ett tag till.

Vill du ha mer information om vad som gäller kring databehandling och coronaviruset kan du läsa vidare på Datainspektionens hemsida. Nedan följer ett axplock:

• Du får registrera vilka medarbetare som befunnit sig i ett riskområde eftersom denna uppgift inte räknas som personuppgift om hälsa. Du måste dock alltid iaktta vad som normalt gäller enligt GDPR.
• En uppgift om att en anställd är i karantän räknas inte som personuppgift om hälsa.
• Du får inte behandla personuppgifter om anställdas närstående pga coronaviruset.

Även Arbetsmiljöverket har lagt ut information med anledning av coronaviruset på sin hemsida, där kan du bl a läsa om arbetsgivares ansvar för personlig skyddsutrustning mm.

OBSERVERA att ovan är kortfattad allmän information i ämnet. Informationen inte är avsedd som rådgivning då varje enskilt fall skiljer sig åt. Har du funderingar kring ämnet är det bäst att konsultera med en jurist. Vi på Cready hjälper dig gärna!