Vad får en arbetsgivare registrera om personalens hälsa i ljuset av Covid-19

Nyhet
03 Apr 2020
Nyhetsrum

Med anledning av Covid-19 aktualiseras flera frågeställningar om hur en arbetsgivare får behandla personuppgifter om anställdas hälsa. Här kan du ta del av vad som generellt gäller vid behandling av sådana personuppgifter enligt gällande dataskyddslagstiftning.

Hantering av personuppgifter rörande hälsa

Uppgifter om en individs hälsotillstånd utgör en känslig personuppgift i enlighet med Artikel 9 i Dataskyddsförordningen (GDPR) och har därför ett särskilt starkt skydd enligt GDPR. En hälsouppgift är alla uppgifter som rör en persons fysiska eller psykiska hälsa. Information om att en individ är sjuk och är smittad av Covid-19 utgör en uppgift om hälsa. Utgångspunkten är att behandling av känsliga personuppgifter inte är tillåten, så länge det inte finns något tillämpligt undantag mot detta förbud (t.ex. att behandlingen är nödvändig för att en arbetsgivare ska kunna fullgöra sina skyldigheter och rättigheter inom arbetsrätten).

Kan arbetsgivare lagligen behandla hälsouppgifter om anställda, till exempel att någon har smittats av Covid-19? 

Arbetsgivare kan i flera avseenden behöva behandla en anställds hälsouppgifter till exempel vid administration av sjuklön och vid rehabiliteringsåtgärder. Trots att det finns ett generellt förbud mot behandling av känsliga personuppgifter kan en arbetsgivare i regel ändå behandla dessa känsliga personuppgifter om det är nödvändigt för att kunna fullgöra sina skyldigheter och rättigheter inom arbetsrätten (Artikel 9.2 (b) i GDPR och 3 kap. 2 § i den svenska Dataskyddslagen).

Artikel 9.2 (i) GDPR ger också möjlighet att behandla känsliga personuppgifter i den mån det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter.  Det är inte klart om en arbetsgivare kan förlita sig på detta undantag och om så är fallet bör undantaget inte vara aktuellt särskilt ofta i praktiken.

Således kan det under vissa förhållanden vara tillåtet för arbetsgivare att i vissa fall behandla hälsouppgifter avseende Covid-19, dock måste naturligtvis övriga regler i GDPR vara uppfyllda, t.ex. de grundläggande principerna för personuppgiftsbehandling i artikel 5 i GDPR, reglerna om laglig grund enligt artikel 6 i GDPR och reglerna om information om personuppgiftsbehandling i artiklarna 12 - 14 i GDPR.

Vad får företag registrera avseende anställda m.fl. om sjukdom, till exempel Covid-19:

Skyldighet att dokumentera smitta i vissa fall. Det finns ingen generell arbetsrättsligt skyldighet enligt arbetsmiljöregler för en arbetsgivare att registrera uppgift om att en individ har Covid-19. Däremot gäller enligt Arbetsmiljöverkets föreskrifter att en arbetsgivare ska dokumentera att en individ har smittats av det nya coronaviruset om smittan har konstaterats vid provtagning och i samband med tillbud vid utförandet av arbetsuppgifter (se AFS 2018:4). Såvitt avser eventuell personuppgiftsbehandling som ett led i sådan dokumentation kan det vara aktuellt för en arbetsgivare att stödja sig på artikel 6.1 (c) och artikel 9.(b).  

Uppgift om besökt land eller karantän
Uppgift om att någon medarbetare har besökt och återvänt från ett riskområde anses enligt Datainspektionen inte som en känslig personuppgift om hälsa. Uppgift om att någon är satt i karantän (utan ytterligare information om varför individen är satt i karantän) utgör inte heller en uppgift om hälsa enligt Datainspektionen.  

Uppgift om att en anställd har smittats av Covid-19
En arbetsgivare får som utgångspunkt berätta att en anställd är smittad men bör inte peka ut vem som är smittad. Om arbetsgivaren bedömer att det är nödvändigt att tala om vem den drabbade är för att uppnå ändamålet ska personen i fråga informeras om detta i förväg. Tänk på att inte lämna ut fler uppgifter än vad som är nödvändigt för att uppnå ändamålet.

Närvarolista på arbetet
Arbetsgivare kan föra en närvarolista för att kunna leda och fördela arbetet på arbetsplatsen, men det bör inte anges varför någon är frånvarande (dvs. exempelvis sjuk).

Lista över vilka som arbetar på distans
Det bör normalt vara tillåtet att för planering av arbetskraft föra en lista över vilka som arbetar hemifrån (utan angivande av närmare skäl) och vilka som i övrigt inte kan utföra arbete och den tid detta gäller (utan angivande av skäl).

Sjukanmälan med anledning av Covid-19
Om en anställd sjukanmäler sig på grund av Covid-19 gäller vanliga regler och rutiner för sjukanmälan. Det är med andra ord tillåtet att registrera att individen är sjukfrånvarande (men man behöver inte ange varför, dvs. att det är på grund av Covid-19) för att t.ex. hantera sjuklön.


Mer att tänka på:

  • Uppgifter – särskilt känsliga uppgifter – måste skyddas på lämpligt sätt. Enligt GDPR krävs att uppgifter om individer skyddas genom tekniska eller organisatoriska säkerhetsåtgärder utifrån risken med registreringen. Om känsliga uppgifter hanteras är kraven på säkerhet högre.
     
  • Fundera över ändamålet med hanteringen av personuppgiften. En avgörande faktor för tillåtligheten av all personuppgiftsbehandling är ändamålet med registreringen och hanteringen av uppgifterna. Om ändamålet kan uppnås utan att några uppgifter om individen registreras ska ändamålet uppnås på det sättet. Ändamålet bestämmer vilka uppgifter och också hur länge uppgifterna kan sparas. Ändamålet bestämmer även vilka personer som har rätt att få del av uppgifterna inom organisationen – endast de personer som verkligen behöver uppgifterna har rätt att ta del av dessa.
     
  • Registrera inte elektroniskt vilka personer som har Covid-19 för att hantera närvaro, dvs. ha inga "corona-listor" för det ändamålet. Det är sannolikt att en sådan lista skulle bryta mot GDPR.
     
  • Be inte de anställda om att godkänna eller samtycka till registrering av uppgift om att individen har smittats av Covid-19. Samtycket kommer inte att vara giltigt enligt GDPR och registreringen skulle därför bryta mot GDPR.
     
  • Tänk på att samma krav ställs på lämpliga säkerhetsåtgärder för att skydda personuppgifter oavsett om de anställda jobbar på kontoret eller hemifrån. Sätt upp rutiner och se till att de anställda är medvetna om vad som gäller när man arbetar hemifrån, t.ex. gällande nedladdning av information från arbetsgivarens nätverk till den lokala dator man utför arbetet ifrån.