Personvern under korona, logging av opplysninger om ansatte

For å etterkomme myndighetenes pålegg og anbefalinger og for å sikre arbeidsmiljøet og publikum mot smitte og ubehag må bedriften ha best mulig kontroll og oversikt over ansatte og deres situasjon. I egenskap av å være arbeidsgiver har bedriften generelt sett adgang til å behandle en rekke personopplysninger om ansatte både for å oppfylle arbeidsavtalen og for å utøve plikter og rettigheter som arbeidsgiver.

Det foreligger under korona gode grunner for å samle inn, be ansatte gi, sammenstille, lagre og i noen tilfeller også dele personopplysninger internt om ansattes reiser, karantene, smittefare og også at vedkommende er smittet. Det kan også foreligger gode grunner til å samle opplysninger om den ansattes smittefare på hjemmebane, det vil si i familie, nabolag, idrettsklubb og andre sosiale sammenhenger.

Imidlertid er opplysning om at ansatt er smittet en spesiell kategori (sensitiv) personopplysning etter GDPR art. 9 og hvor lovlig grunnlag for bedriftens behandling er snevert.

Datatilsynet gitt noen konkret korona-råd for tolkning av GDPR publisert her: Korona og personvern på arbeidsplassen | Datatilsynet

Tilsynet slår fast at «Opplysninger om at noen er smittet med koronavirus er å regne som en helseopplysning» samtidig som at «Opplysninger om at en ansatt har returnert fra et såkalt "risikoområde"« og «opplysninger om at noen er satt i karantene (uten å gi nærmere informasjon om årsaken) er ikke å regne som en helseopplysning.» ikke er helseopplysninger. Dette er en velkommen presisering.

I dagens situasjon vil bedriften gjennomgående kunne behandle opplysninger om ansattes karantene og reiser etter en dokumentert avveining av berettigede interesser veid mot personvernulemper. For opplysning om ansattes sykdom derimot (at ansatt er smittet), kan berettigede interesser ikke brukes. For denne opplysningen må i praksis grunnlaget hentes i bedriftens plikt til å sikre et forsvarlig arbeidsmiljø. Intern deling av informasjon om smittet ansatt bør bare skje når dette er helt nødvendig for å sikre kollegaers helse eller deres potensielle viderespredning av smitte, og bare, slik Datatilsynet anbefaler, skje i samråd med den smittede ansatte. 

Etter GDPR har ansatte krav på god informasjon om hvilke data som samles og hva data brukes til. Dette kan gjerne løses ved oppslag på intranett. Opplysningene er følsomme, informasjonssikkerheten må være høy, tilgangskontrollen streng og kun (strengt) nødvendige data bør behandles.

GDPR tillater ikke at arbeidsgiver sprer informasjon om at identifisert ansatt er smittet til samarbeidspartnere og kunder.  Datatilsynet mener dessuten at opplysninger om at ansatt er i karantene heller ikke skal spres, selv om dette altså ikke er en helseopplysning.

Trenger du bistand knyttet til personvern og GDPR?

Våre eksperter bistår gjerne