Gå til Hovedinnhold Gå til Navigasjon

Personvern i arbeidsforholdet under koronakrisen

Personvernreglene oppleves som ekstra problematiske i disse tider, når arbeidsgiver har en interesse av å behandle personopplysninger for å avdekke sykdom og verne andre arbeidstakere fra smitte.
Arbeidsrett/personvern Koronavirus

I dette nyhetsbrevet gir vi en overordnet gjennomgang av enkelte forhold som gjelder arbeidsgivers oppfølging av ansatte. Vi bistår gjerne hvis du har spørsmål.

Vår erfaring er at mange har fått «GDPR-skrekk», og er svært bekymret for å bryte reglene om personopplysninger. Etter å ha sett nærmere på hva de europeiske datatilsynene som håndhever GDPR mener, er det vår oppfatning at frykten er overdrevet. GDPR er ikke kun ment som et forbudsregelverk som skal beskytte personopplysninger. Regelverket er også et EU-instrument som skal sikre fri flyt og fornuftig bruk av personopplysninger, såfremt enkelte krav er oppfylt. Personvern er ikke den eneste verdien, og andre viktige hensyn (som folkehelse) kan trumfe personvernet.

Kan arbeidsgiver spørre arbeidstaker om opplysninger knyttet til koronaviruset?

Arbeidsgivers muligheter til å innhente helseopplysninger om ansatte er begrenset både av personvernregelverket og av arbeidsmiljøloven. Situasjonen samfunnet står overfor er imidlertid også høyst ekstraordinær og prekær, og det er viktig å sørge for at terskelen for behandling ikke legges så høyt at den blir til hinder for behandling av personopplysninger som faktisk kan bidra til å begrense spredning av koronaviruset. Det må legges til grunn at arbeidsgiver kan oppfordre ansatte til å melde fra om eventuell koronasmitte, og at arbeidsgiver i hovedsak også vil ha anledning til behandling av slike opplysninger når de mottas.

Arbeidsgiver har et ansvar for å ivareta de ansattes helse, miljø og sikkerhet på arbeidsplassen. Av denne årsak kan det være nødvendig å spørre arbeidstaker om vedkommende nylig har vært på utenlandsreise eller om vedkommende opplever influensalignende symptomer. Arbeidstaker skal da i karantene i 14 dager og ikke oppholde seg på arbeidsplassen.

Arbeidsgiver skal imidlertid ikke innhente flere opplysninger enn det som er strengt nødvendig for å ivareta de ansattes helse og redusere fare for smitte. Vi anbefaler at ledelsen oppfordrer de ansatte til å lese og vurdere rådene fra helsemyndigheter før de oppsøker arbeidsplassen. Videre bør ansatte oppfordres til å ringe fastlege dersom de opplever influensalignende symptomer. På denne måten kan arbeidsgiver forsøke å minimere omfanget av opplysninger som må innhentes om arbeidstaker.

Dersom det blir nødvendig å innhente helseopplysninger om en arbeidstaker, må arbeidsgiver være oppmerksom på ikke å innhente mer opplysninger enn det som er nødvendig, og at disse opplysningene bevares på en sikker måte.

Hva kan sies til andre arbeidstakere/offentligheten? Kan man si at en bestemt arbeidstaker er smittet?

Opplysninger om at en ansatt er smittet av koronavirus anses som en helseopplysning. Ettersom helseopplysninger tilhører en såkalt særskilt kategori av personopplysninger, er behandling av denne typen opplysninger i utgangspunktet forbudt, herunder også å videreformidle slik opplysning til andre ansatte. Etter omstendighetene kan imidlertid arbeidsgiver være berettiget til å videreformidle denne informasjonen til andre ansatte. Meddelelse kan eksempelvis være nødvendig for at ledelsen og kollegaer kan treffe de nødvendige forholdsregler for å begrense smitte.

Det kan for eksempel hende at en kollega har vært i nær kontakt med en ansatt som er smittet. Nær kontakt vil si kontakt med en smittet person med mindre enn to meters avstand i mer enn 15 minutter, eller direkte fysisk kontakt. Kollegaen som har vært i nær kontakt med den smittede må da være i karantene i minst 14 dager fra den dagen kontakten skjedde. Av denne årsak kan det være nødvendig for ledelsen å meddele de ansatte at en bestemt arbeidstaker er smittet.

Det er imidlertid viktig å være oppmerksom på at en eventuell meddelelse skal være saklig og begrenses til det som er nødvendig. Arbeidsgiver bør derfor vurdere om det er god grunn til å meddele opplysningen. Videre må arbeidsgiver vurdere om det er nødvendig å spesifisere opplysningene eller om formålet om å hindre smitte kan oppnås ved å fortelle mindre, for eksempel ved å unnlate å nevne navn på hvem som er smittet.

Informasjon om at en arbeidstaker har returnert fra et såkalt «risikoområde» eller utenlandstur er ikke å regne som en helseopplysning. Det er heller ikke å regne som en helseopplysning at en arbeidstaker er satt i karantene. Denne type opplysninger er likevel personopplysninger, som stiller krav til hvordan arbeidsgiver behandler opplysningene.

Vi vurderer det slik at arbeidsgiver ikke skal videreformidle informasjon om at enkeltansatte er smittet og/eller i karantene til utenforstående. Datatilsynet anbefaler at beskjeden til utenforstående som ønsker å få kontakt med ansatte som er smittet og er i karantene får beskjed om at vedkommende er fraværende eller ikke tilgjengelig.

Hva utgjør helseopplysninger?

«Helseopplysninger» må du være varsom med å behandle, siden dette er en «særlig kategori» av personopplysninger. Slike kategorier er i utgangspunktet forbudt å behandle, med mindre det finnes unntak fra forbudet. Dette kan f.eks. være for å etterleve arbeidsrettslige forpliktelser.

Helseopplysninger er enkelt sagt alle opplysninger som kan si noe om en persons nåværende, tidligere eller fremtidige fysiske eller psykiske helsetilstand.

Dette vil ikke utgjøre helseopplysninger:

  • Opplysninger om at en person er i karantene
  • Opplysninger om at person har vært i et område der det er stor fare for virussmitte eller at en person har vært i kontakt med en person som har sykdom
  • Opplysninger om at en person har vært på legebesøk
  • At en ansatt jobber hjemmefra vil ikke utgjøre en helseopplysning
  • Trolig vil heller ikke en enkelt opplysning om at noen er syk, uten nærmere spesifisering, utgjøre en helseopplysning, men her bør man være forsiktig

Dette vil utgjøre opplysninger om helse:

  • Informasjon om at en person er blitt smittet av en bestemt sykdom
  • Informasjon om at person er fraværende på grunn av sykdom
  • Informasjon om at person har bestemte symptomer

Kan arbeidsgiver behandle helseopplysninger om koronasmittede ansatte?

Som alltid krever behandling av personopplysninger at det foreligger et hjemmelsgrunnlag. For behandling av særlige kategorier av personopplysninger, herunder helseopplysninger, kreves det i tillegg at det foreligger et gyldig unntak fra forbudet mot behandling av slike opplysninger. De mest aktuelle unntak fra forbudet vil for de fleste arbeidsgivere være:

  • Dersom det er nødvendig for at arbeidsgiver skal kunne oppfylle sine arbeidsrettslige forpliktelser.
  • Behandling i medhold av «vitale interesser», som blant annet er ment for bruk i forbindelse med epidemier. Det er et vilkår for bruk av bestemmelsen at den registrerte ikke kan (faktisk eller juridisk) samtykke til behandlingen. Dette vil ofte være realiteten i et arbeidsforhold, hvor styrkeforholdet mellom arbeidsgiver og arbeidstaker medfører at et samtykke ikke kan anses å være frivillig. Behandling av personopplysninger om koronasmitte blant ansatte kan imidlertid være nødvendig for å ivareta andres «vitale interesser».

Hjemmekontor

Dersom personer har hjemmekontor, vil arbeidsgiver fremdeles være behandlingsansvarlig etter GDPR. Dette innebærer at arbeidsgiver må ha på plass egnede tiltak for å sikre tilstrekkelig vern av opplysninger sett opp mot risikoen mot personers rettigheter.

Desto mer sensitiv eller omfattende informasjonen er, jo strengere vil kravene til tiltakene for å sikre sikkerheten være.

Det danske Datatilsynet har kommet med følgende tips, som vi mener det er god grunn til å følge mer generelt:

  • Sørg for å etablere og kunngjøre klare retningslinjer for hjemmearbeid i bedriften – og sørg for å følge dem som ansatt.
  • Bruk sikker tilgang til virksomhetens systemer (VPN, direkte tilkobling eller andre sikre tjenester).
  • Når det er mulig, bruk det normale sentrale saksbehandlingssystemet, som bør ha tilgangskontroll, merknad av dokumentversjon, sikkerhetskopi og generell sikkerhet på plass.
  • Hvis du har papirer som inneholder informasjon om fysiske personer, må du huske å lagre og destruere dem på en trygg måte.

Vi vil også tilføye at nettverk og applikasjoner bør ha sterke passord, slik at de ikke kan avdekkes gjennom gjetting.

Interessert i flere artikler relatert til koronaviruset? Se denne siden for mer informasjon