Arbeidsgivers behandling av personopplysninger i lys av Coronaviruset

Virksomheter har i disse tider fokus på ivaretakelse av liv og helse til sine ansatte, samtidig som de jobber på spreng med å opprettholde økonomisk aktivitet, trygge arbeidsplasser og sikre at driften skjer i overenstemmelse med gjeldende lovgivning. Brækhus publiserer løpende veiledninger om temaer av praktisk betydning for våre klienter i lys av coronaepidemien. I denne artikkelen vil vi ta for oss behandling av personopplysninger om ansatte som er påvirket av coronaviruset.

Coronaviruset og personopplysninger

Utgangspunktet

Flere virksomheter har etterspurt veiledning til behandling av personopplysninger som ledd i preventive tiltak eller i lys av mistenkt eller konstatert smitte. Andrea Jelinek, leder for det europeiske personvernstyret (European Data Protection Board), uttalte den 16. mars at personvernforordningen ikke skal være til hinder for tiltak i kampen mot coronaepidemien. Samtidig understreket hun at selv i disse tider må de registrertes personopplysninger beskyttes og behandlingsansvarlige bør utvise varsomhet for å garantere lovlig behandling av personopplysninger.

Personopplysninger som vedrører coronaepidemien kan i mange tilfeller være å anse som helseopplysninger. Personvernlovgivningen definerer helseopplysninger som opplysninger om en persons «fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand». Helseopplysninger er en særlig kategori av personopplysninger som nyter et særskilt vern etter norsk lov.

Opplysninger om at en person er smittet med coronaviruset (COVID-19) er å anse som helseopplysninger. Virksomheter bør forholde seg til rådene fra helsemyndighetene og til de strenge reglene som gjelder for behandling av helseopplysninger dersom de avdekker at en av deres ansatte er smittet.

Opplysninger om at en person har returnert fra et «utsatt område» eller er satt i karantene er imidlertid ikke å regne som helseopplysninger. Disse opplysningene er likevel personopplysninger og behandling må skje i overenstemmelse med de alminnelige reglene i personvernlovgivningen. Det er også viktig å være klar over at opplysninger om at en ansatt er satt i karantene er helseopplysninger dersom det fremgår at grunnen til karantenen er at vedkommende er smittet.

Kommunikasjon

Kommunikasjon til ansatte

Den 10. mars kom Datatilsynet med en veileder om hvordan arbeidsgivere kan behandle personopplysninger i lys av coronaviruset. Veilederen gir noen grunnleggende holdepunkter vedrørende kommunikasjon til ansatte og utenforstående.

Virksomheter kan gi informasjon om at noen er smittet eller i karantene innad i virksomhetens organisasjon forutsatt at dette anses som nødvendig for å sikre et forsvarlig arbeidsmiljø.

Virksomheten må i alle tilfeller vurdere om det er nødvendig å dele opplysninger om at en ansatt er smittet eller i karantene, samt om opplysningene kan deles uten å røpe navn eller årsaken til sykdom eller karantene.

Dersom en virksomhet deler personopplysninger om at en ansatt er smittet eller i karantene er det viktig å ivareta den ansattes integritet, dvs. at personopplysningene må være sikret mot utilsiktet eller uautorisert endring eller sletting.

Kommunikasjon til kunder og andre utenforstående

Datatilsynet har uttalt at virksomheter ikke skal kommunisere til kunder eller andre utenforstående at en enkeltansatt er smittet eller i karantene. Dersom en kunde tar kontakt med virksomheten fordi vedkommende ikke kan komme i kontakt med en ansatt som er smittet eller i karantene bør virksomheten i stedet opplyse om at den ansatte er fraværende eller utilgjengelig.

Dersom ansatte har hjemmekontor eller lignende bør virksomheter sammen med vedkommende ansatte vurdere hvordan kontaktinformasjon skal formidles. Virksomheter som opplever at flere eller samtlige ansatte er smittet eller satt i karantene bør også vurdere hvordan dette skal kommuniseres på en måte som hensyntar de ansatte.

Behandlingsgrunnlag

Behandling av personopplysninger forutsetter at den behandlingsansvarlige virksomheten har et behandlingsgrunnlag.

De behandlingsgrunnlagene som anses best egnet for de behandlingsoperasjonene som er nevnt nedenfor er hjemlet i personvernforordningen artikkel 6 nr. 1 bokstav c) og f), herunder behandling som er nødvendig for «å oppfylle en rettslig forpliktelse» eller «for formål knyttet til de berettigede interessene» til virksomheten så lenge «den registrertes interesser eller grunnleggende rettigheter og friheter [ikke] går foran og krever vern av personopplysninger».

Forebyggende behandling

Som ledd i å forebygge smitte eller forutse risiko vil virksomheter kunne behandle personopplysninger for å kartlegge reiser som ansatte har gjennomført i forbindelse med jobb eller privat og vurdere hvorvidt reisene har skjedd i «utsatte områder» som definert av Utenriksdepartementet.

Det vil også kunne være aktuelt å behandle personopplysninger for å kartlegge nærkontakter til personer som har fått påvist coronaviruset. Med nærkontakter menes personer som har hatt «tett kontakt» med en person som er bekreftet smittet med coronaviruset fra 24 timer før symptomdebut. Man regnes som nærkontakt i 14 dager fra og med siste kontakt med det bekreftede tilfellet. Opplysninger om en nærkontakt utgjør ikke helseopplysninger, med mindre opplysningen angir at også nærkontakten er smittet. For mer informasjon om begrepene «nærkontakt» og «tett kontakt», se Folkehelseinstituttets nettside.

For å forebygge smitte kan det til sist være aktuelt å dele opplysninger innad i virksomheten om at ansatte sitter i karantene (uten å røpe årsaken), og dermed oppfordre ansatte som har hatt kontakt med vedkommende om å utvise forsiktighet og oppsøke helsehjelp ved symptomer.

Håndtering av smitte

Virksomheter med ansatte har en plikt til å sikre at arbeidsmiljøet er «fullt forsvarlig ut fra en enkeltvis og samlet vurdering av faktorer i arbeidsmiljøet som kan innvirke på arbeidstakernes fysiske og psykiske helse og velferd», jf. arbeidsmiljøloven § 4-1.

Som ledd i overholdelse av denne plikten vil virksomheter som nevnt kunne søke å forebygge eller forutse risiko for smitte. Ved konstatering av smitte vil virksomheter ha en plikt til å kartlegge hvem av de ansatte som er smittet og hvordan dette har skjedd samt ivareta den smittede. Arbeidsgiver må deretter søke å identifisere nærkontakter og andre som risikerer å være smittet som følge av kontakt med den smittede og deretter treffe egnede tiltak for å forhindre ytterligere smitte.

Særlig om helseopplysninger

Behandlingsgrunnlagene i personvernforordningen artikkel 6 nr. 1 bokstav c) og f) vil som nevnt egne seg best for behandling av personopplysninger som nevnt ovenfor. Opplysninger om at en ansatt er bekreftet smittet eller plaget av symptomer utgjør helseopplysninger. Slike opplysninger krever at den behandlingsansvarlige virksomheten har et særskilt behandlingsgrunnlag etter personvernforordningen artikkel 9, i tillegg til et alminnelig behandlingsgrunnlag etter artikkel 6.

Etter personvernforordningen artikkel 9 nr. 2 bokstav b) kan helseopplysninger behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. Arbeidsgivers oppfyllelse av plikten til å sikre et fullt ut forsvarlig arbeidsmiljø etter arbeidsmiljøloven § 4-1 er et eksempel på en slik plikt.

Dokumentasjon og rutiner

Før virksomheter behandler helseopplysninger i forebyggende øyemed eller i forbindelse med mistenkt eller konstatert coronasmitte bør de vurdere hvorvidt behandlingen av slike opplysninger er «nødvendig» for å overholde arbeidsmiljølovens regler eller andre krav i særlovgivningen. Vurderingen bør nedfelles skriftlig for å sikre notoritet.

Virksomheter bør dokumentere sine behandlingsgrunnlag og behandlingssoperasjoner og påse at de har oppdatert sin behandlingsprotokoll i tråd med personvernforordningen artikkel 30. Videre må virksomheter sørge for å gi ansatte informasjon om behandlingen i tråd med personvernforordningen artikkel 13. Lagringstid bør være fastsatt på forhånd eller vurderes løpende holdt opp mot virksomheters behov. Personopplysninger må slettes når de ikke lenger er nødvendige for å oppfylle formålet med den aktuelle behandlingen.