I forbindelse med det omfattende arbeidet med Covid-19 (eller coronaviruset) og pågående kriseberedskap er det nå især to situasjoner som setter GDPR-compliance på spissen. Det første tilfellet er når en virksomhet mottar informasjon om at en ansatt er smittet og må håndtere slik sensitiv informasjonen. Det andre tilfellet er når en virksomhet aktivt innsamler informasjon om ansattes helsesituasjon og relaterte opplysninger.
Datatilsynet kom 10. mars med en kort veiledning om hvordan arbeidsgivere sikrer etterlevelse av GDPR når de håndterer opplysninger om coronasmitte. Tilsynet uttalte seg imidlertid kun om den første situasjonen, mens den andre situasjonen er høyst relevant for flere. Som følge av en stadig økende risiko forbundet med omfattende virusspredning må virksomhetene etter vårt syn kunne ta grep også ut over håndtering av påviste smittetilfeller.
Datatilsynet slår i sin korte veiledning fast at opplysninger om at noen er smittet med coronaviruset er å regne som helseopplysninger. Virksomheter som opplever at ansatte blir smittet må først og fremst følge rådene fra helsemyndighetene. Samtidig må man følge de ekstra strenge reglene for behandling av sensitive personopplysninger. Som Datatilsynet peker på kan arbeidsgiver dele informasjon om at noen er smittet innad i virksomheten når det er nødvendig for å sikre et forsvarlig arbeidsmiljø. GDPR åpner nemlig for behandling av helseopplysninger som følge de plikter en arbeidsgiver etter arbeidsmiljøloven har til å verne ansattes liv og helse.
Mange virksomheter vil oppleve at ansatte kan ha vært i områder med stor smittespredning. Spørsmålet som oppstår er om arbeidsgiver har rett til å innsamle og kartlegge opplysninger om helsetilstand, reiseaktivitet og andre forhold av betydning. Datatilsynets uttalelse gir dessverre ingen veiledning på dette. Til gjengjeld har det danske datatilsynet kommet med uttalelser som peker i retning av at virksomhetene kan foreta en slags aktiv kartlegging av smitterisiko. Omvendt har de franske og italienske tilsynsmyndighetene tilsynelatende kommet til motsatte konklusjoner.
At det er forskjell i ulike land er egentlig ikke så rart selv om alle er underlagt GDPR. Svaret beror nemlig på hvilken lovgivning som gjelder for arbeidsmiljø og her kan det være nasjonale forskjeller. Som nevnt over har arbeidsmiljøloven i Norge klare regler om at arbeidsgiver har plikt til å sikre et forsvarlig arbeidsmiljø for alle ansatte.
Oppsummert mener vi at GDPR åpner for nødvendig behandling av personopplysninger knyttet til Covid-19 og smitterisiko i form av en viss kartlegging. Ved akutt risiko for spredning av dødelig sykdom, og gitt den helt ekstraordinære situasjonen vi står overfor, er vi av den oppfatning at mange kan være nødt å gå videre enn å håndtere faktisk påviste smittetilfeller. Etter vår vurdering gir GDPR sammen med norsk arbeidsmiljølov grunnlag for at mange virksomheter aktivt kan kartlegge informasjon om hvilke ansatte som potensielt er smittet. Som ledd i aktiv smitteforebygging kan man for eksempel være nødt til å be ansatte om å opplyse om eventuelle smittesymptomer og eventuelt om “nærkontakter” gjennom de siste ukene. Opplysningene må naturligvis behandles i tråd med kravene etter GDPR og begrenses til det som er nødvendig.
Webinar om corona og GDPR-compliance
Hvis du vil høre mer om hvordan virksomheten sikrer GDPR-compliance i arbeidet med coronavirus og kriseberedskap tilbyr vi et kort webinar allerede i morgen torsdag 12. mars, kl. 09.45-10.00. Webinaret kjøres i forlengelse av vårt arbeidsrettsteams webinar om arbeidsgivers plikter dersom én eller flere ansatte får påvist smitte. Dette webinaret kan følges via samme lenke fra kl 09:00.
Påmelding kan gjøres her: