16. marts 2020
GDPR og coronavirus
Hvordan er det med GDPR og coronavirus?
Heidi Roger Martens
Chefkonsulent, cand.merc.aud.
Artiklen er oprindeligt skrevet af en anden medarbejder
Denne nyhed er udarbejdet af FSR – danske revisorers GDPR-samarbejdspartner Lexoforms. Informationerne kan du tage med til dine kunder i din GDPR-rådgivning eller anvende internt i dit eget revisionsfirma.
Hvad må arbejdsgiveren registrere og videregive af oplysninger om de ansatte i anledning af coronavirus?
Datatilsynet vurderer, at en arbejdsgiver inden for rammerne af databeskyttelsesreglerne i vidt omfang kan registrere og videregive oplysninger, der ikke er så konkrete og specifikke, at de kan anses for helbredsoplysninger, når situationen nødvendiggør det. Det kunne fx være:
-
at en ansat er hjemvendt fra et såkaldt ”risikoområde”
-
at en ansat er i hjemmekarantæne (uden nærmere at angive årsagen)
-
at en ansat er syg (uden nærmere at angive årsagen).
Selve den oplysning, at den ansatte er smittet med COVID-19 eller er i risiko for at være smittet, reguleres af helbredsoplysningsloven, og den oplysning har arbejdsgiveren normalt ikke ret til at bede den ansatte oplyse, og den ansatte har omvendt heller ikke pligt til at oplyse det. Imidlertid er der samfundsmæssige og sundhedsretlige regler, som sætter helbredsoplysningslovens beskyttelsesregel ud af kraft i den aktuelle situation. Derfor vil det efter omstændighederne i den aktuelle situation være berettiget, at arbejdsgiveren registrerer og videregiver oplysninger, der må anses for helbredsoplysninger, fx at en medarbejder er smittet med coronavirus. Hensynet er her, at ledelsen og kollegaer kan træffe de nødvendige forholdsregler.
Det er imidlertid vigtigt at holde sig for øje, at registreringen eller videregivelsen skal være saglig, ligesom de oplysninger, der registreres og videregives, skal begrænses til det nødvendige.
Arbejdsgiveren bør overveje:
-
om der er en god grund til at registrere eller videregive de pågældende oplysninger
-
om det er nødvendigt at specificere oplysningerne, herunder om formålet kan opnås ved at ”fortælle mindre”
-
om det er nødvendigt at nævne navne – fx navnet på den person, der er smittet og/eller i hjemmekarantæne.
Er det nødvendigt med samtykke?
En oplysning om, at medarbejderen er smittet med COVID-19 eller er i risiko for at være blevet det, er en følsom personoplysning. Behandling af en sådan oplysning kræver som udgangspunkt medarbejderens udtrykkelige samtykke.
Behandlingen kan dog i visse tilfælde også ske på andet grundlag end samtykke, fx arbejdsgiverens arbejdsretlige forpligtelser. Virksomheden må derfor foretage en konkret vurdering af, hvornår en behandling af helbredsoplysninger kræver udtrykkeligt samtykke, og hvornår behandlingen kan ske på andet lovligt grundlag. Da en medarbejder til enhver tid kan trække sit samtykke tilbage, anbefaler vi, at der består et andet behandlingsgrundlag end samtykke.
I den aktuelle situation kan det meget vel være, at en arbejdsgiver selv har saglig interesse i at videregive oplysninger om (muligt) smittede medarbejdere til fx kunder og samarbejdspartnere, eller bliver bedt af myndighederne om oplysningerne. Det skal i så fald i hver enkelt situation vurderes, om det er sagligt, legitimt og nødvendigt at udlevere oplysningerne.
I tilfælde af videregivelse af følsomme personoplysninger skal virksomheden sørge for at orientere den registrerede (medarbejderen).
