Unntakstilstand, men ikke amnesti
Kunngjøringer fra Personvernrådet og flere datatilsyn om GDPR og Covid-19 (korona)
Av advokatfullmektig Anders A Christie
Personvernforordningen (GDPR) skaper hodebry i disse krisetider. Flere behandler personopplysninger på grunn av Covid-19 (korona). På toppen av dette stilles det ekstra strenge krav for behandling av helseopplysninger i GDPR.
Det europeiske personvernrådet (Personvernrådet), som består av EØS-områdets datatilsyn, har nylig kommentert situasjonen. Personvernrådet kunngjør at GDPR og nedkjemping av korona er forenlig så lenge fremgangsmåten er korrekt. De gir ikke amnesti. Datatilsynet sier at de vil håndheve personvernreglene også i disse koronatider.
Personvernrådet stiller flere spørsmål:
- Kan arbeidsgiver varsle om smittede ansatte?
- Kan virksomheten be ansatte og besøkende om personopplysninger?
- Kan arbeidsgiver teste ansatte?
Personvernrådet svarer ikke klart på noen av de tre spørsmålene, men gir noen kjøreregler.
Personvernrådet sier at tiltakene må være minst mulig inngripende. I praksis sier de at alternativer til behandling av personopplysninger må vurderes, slik som å lage forholdsregler.
Personvernrådet er mer konkrete når de sier at den smittede skal varsles før arbeidsgiver varsler internt. I tillegg kan varsling bare gjennomføres om arbeidstakers verdighet og integritet ivaretas.
Det å forutse når et varsel går på akkord med verdighet eller integritet er utfordrende. Om du fortsatt vil varsle, er det smart å vurdere om varselet kan begrenses til en mindre personkrets, slik som ledelsen.
Når bør virksomheten samle inn personopplysninger for å bekjempe korona?
Dessverre sier Personvernrådet og Datatilsynet i Norge lite konkret om når arbeidsgiver kan samle inn koronainformasjon. Det danske Datatilsynet uttaler at de åpner for innsamling fra ansatte, i det minste når det ikke er helseopplysninger. Opplysninger om at en person er smittet er helseopplysninger, mens isolerte opplysninger om retur fra risikoområder og isolerte opplysninger om karantene derimot ikke er helseopplysninger, ifølge Datatilsynet. Men personopplysninger kan sammenstilles og dermed i sum bli helseopplysninger. Derfor er skillene uforutsigbare. Det er også uforutsigbart når personopplysninger om den ansatte også er personopplysninger om den ansattes nære.
Når bør dere behandle personopplysninger om korona?
Strategi 1: Gi forholdsregler uten å be om koronarelaterte personopplysninger
Om din virksomhet gir forholdsregler til ansatte, kan behandling av koronarelaterte personopplysninger minimeres. Da unngår dere risikoer forbundet med gråsoner.
Strategi 2: Be om koronarelaterte personopplysninger - i tillegg til forholdregler
En annen strategi er at virksomheten ber ansatte og besøkende om koronarelatert informasjon. Denne strategien øker risikoen for brudd på GDPR, og i mange tilfeller er smittevernsgevinsten på toppen av forholdsreglene uklar. For noen spesielle virksomheter kan allikevel forespørsler om koronarelaterte personopplysninger være passende.
I GDPR og personopplysningsloven (2018) er det grunnlag for å behandle nødvendige personopplysninger og nødvendige helseopplysninger om ansatte. Selv om virksomheten har lovlig grunnlag, kan denne strategien koste mer enn den smaker. Ved å be om opplysninger kan arbeidsgivere få mange ustrukturerte personopplysninger som bør være under kontroll. Behandlingene og vurderingene må også dokumenteres - selv ved korona - som Datatilsynet tydelig minner om. Dataflyten må også sikres. En sikker kanal for innsamling bør opprettes. Om ansatte for eksempel svarer via e-post (som ofte kan leses av uvedkommende tredjeparter på veien mellom sender og mottaker), er sikkerhetsnivået antagelig under minstekravet i GDPR (art. 32). I tillegg er grensene for hva som er nødvendig behandling av personopplysninger uklare.
Om virksomheten har personopplysninger om ansatte, er det også viktig å holde dette internt. Spesifikk informasjon til eksterne - som kunder - anbefales ikke. Datatilsynet uttaler at eksterne kun skal få generell informasjon, slik som at den ansatte ikke er tilgjengelig.
Det kan også være nærliggende å be besøkende om koronaopplysninger, men også her oppstår en rekke grensetilfeller. Vurderingene av lovlig grunnlag blir også annerledes enn for ansatte.
Anbefaling
For de fleste virksomheter er vår anbefaling å holde behandling av koronarelaterte personopplysninger til et minimum. Still alltid spørsmål ved om dere kan løse utfordringen like effektivt uten å behandle koronarelaterte personopplysninger. Smittevarsling, testing og mer omfattende spørsmål rettet mot besøkende er det grunn til å være forsiktig med. For de fleste virksomheter er det bedre med tydelige forholdsregler.
Advokatfullmektig Anders A Christie er tilknyttet Bull & Cos avdeling for teknologi. Han arbeider med IT-kontrakter, personvern- og sikkerhetsrett. Han har skrevet masteroppgave om bruk av Big Data innenfor rammene av Personvernforordningen (GDPR). Anders kan nås på aac@bull.no eller mobil 92 21 69 60.