Sedan en vecka tillbaka har Sverige verkligen lamslagits av den rådande ”Corona-krisen”. Arbetsgivare står inför vinstbortfall, ändrade och försvårade arbetssätt, samt kraftigt reducerade personalstyrkor. Detta inte minst på grund av mildrade krav kring sjukfrånvaro.
I skuggan av den rådande pandemin, så är det förståeligt att överhängande lagkrav som de från Dataskyddsförordningen (GDPR), lätt bortprioriteras. Det är dock ännu viktigare i dessa oroliga sjukdomstider (särskilt då en ökad mängd av känsliga hälsouppgifter behandlas inom organisationer) att ha GDPR i åtanke.
Utifrån den Europeiska dataskyddsstyrelsens nya utlåtande kring personuppgiftsbehandling under Corona-utbrottet, kommer här sex handfasta råd för personuppgiftsbehandling under denna oroliga period.
- Låt inte paniken styra, lagen gäller fortfarande
Detta kan uppfattas som ett tidskänsligt ämne, men faktum kvarstår att GDPR:s krav fortfarande måste efterföljas, och företag måste därav fortsatt värna och skydda de anställdas integritet, trots den kritiska perioden. - Hälsoinformation är känslig information, vad samlar du in och varför?
Enligt GDPR är personuppgifter om hälsa en ”speciell kategori av personuppgifter”, som kräver en högre grad av skydd. Utöver tekniska skyddsåtgärder (så som IT-relaterade säkerhetslösningar mm), kräver detta även att arbetsgivaren tydligt dokumenterar vilken rättslig grund som stödjer personuppgiftsbehandlingen, samt ändamålet för insamlingen.För att lagligt samla in och använda anställdas hälsoinformation ska företag främst rätta sig efter skrivelsen i artikel 9 GDPR.Det kan dock vara behjälpligt att förtydliga följande gränsdragningar i denna situation; uppgifter om att någon är smittad av coronavirus räknas som en personuppgift om hälsa, uppgifter om att en anställd har återvänt från ett så kallat riskområde anses inte som en personuppgift om hälsa, uppgifter om att någon är satt i karantän (som inte innehåller närmare information om orsaken) anses inte som en personuppgift om hälsa. Föreligger någon osäkerhet kring denna gränsdragning så vänd er till närmast sakkunnig (fördelaktigt ert dataskyddsombud). - Företag får behandla personuppgifter i vissa fall
Om ett företag samlar in personuppgifter i syfte att värna om personalens hälsa, kan personuppgiftsbehandling vanligtvis stödjas på följande artiklar; artikel 9.2 b(Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd), eller i sällsynta fall, enligt artikel 9,2 c (” grundläggande intressen ”) och artikel 9,2 h) (”hälso- och sjukvård”) i syfte att lättare hantera den anställdes frånvaro till följd av coronaviruset. - Endast de som behöver insyn ska ha insyn
Ett företag måste även internt skydda de anställdas personuppgifter. När det gäller information som samlas in om anställda i förhållande till coronaviruset (särskilt hälsoinformation) måste företaget uppvisa ett omfattande skydd för denna typ av information. Tillträde till denna information bör därav endast tilldelas till en begränsad och behörig skara. Avslutningsvis namnge inte en infekterade anställda, såvida inte detta är absolut nödvändigt. - Transparens, korrekthet och uppgiftsminimering, är fortfarande ett vinnande koncept
Vid insamling och behandling av personuppgifter under denna krävande situation, så är det oerhört viktigt att kommunicera till era anställda varför och hur ni behandlar deras personuppgifter. Det är även väldigt viktigt att säkerställa att dessa personuppgifter är korrekta och ni enbart behandlar nödvändiga personuppgifter (inte mer än vad som krävs i det enskilda fallet). Erbjud din personal en enkel väg för att ge dig uppdateringar om deras hälsoläge. Överväg att implementera en officiell ”coronavirus-hotline”, så det finns kommunikationslänk som personalen kan nyttja för att rapportera alla problem som de har rörande coronaviruset. Detta hjälper till att förhindra att den kommunicerade informationen (såväl som viruset) sprids. - Radera det som inte behövs
GDPR kräver att personuppgifter raderas när den inte längre behövs för dess dokumenterade ändamål. Därav bör ett företag se till att ta bort all onödig information som det har samlat in i samband till coronavirus, när hotet har passerat.
Avslutningsvis ha dessa råd i åtanke vid fortsatt verksamhet, lycka till och ta hand om varandra.
Av: Tobias Granlund IT-jurist på Secify