Hopp direkte til innhold

Nyhetsbrev: Koronaviruset og personvern på arbeidsplassen

I den ekstraordinære situasjonen som den vi står overfor, og snart to år etter implementeringen av personvernforordningen (GDPR) i Norge, har vi fått mange spørsmål om de ansattes personvern ved deling av personopplysninger innad i virksomheten og til eksterne mottakere, slik som kunder, leverandører og helsemyndigheter.

Basert på en rekke veiledninger, og særlig Datatilsynets veiledning av 10. mars 2020, har vi her samlet den viktigste informasjonen om dine ansattes personvern som du som arbeidsgiver bør vite om i denne krevende situasjonen. Dette nyhetsbrevet er ment å gi deg konkrete råd basert på våre personverneksperters vurderinger.

Du kan samle inn, sammenstille, og lagre ("behandle") personopplysninger om dine ansatte for å ivareta det ansvaret som du har som arbeidsgiver til å sikre et forsvarlig arbeidsmiljø. Dette omfatter blant annet generelle personopplysninger om den ansattes private- og jobbreiser som har skjedd siden utbruddet av koronaviruset og som skal skje i nærmeste fremtid, samt sensitive personopplysninger begrenset til den ansattes symptomer og/eller smitte (helseopplysninger).

Mer om det: vi mener at det mest relevante behandlingsgrunnlag for sensitive personopplysninger slik som helseopplysninger er GDPR artikkel 9 nr. 2 bokstav (b), som gir arbeidsgivere mulighet til å behandle helseopplysninger om sine ansatte for å kunne oppfylle sine forpliktelser til å sikre et "fullt forsvarlig arbeidsmiljø", jf. arbeidsmiljøloven § 4-1. 

Du kan registrere opplysninger om hvilke ansatte som befinner seg i karantene og om den ansattes smitte eller fare for smitte, dersom den ansatte venter på å bli testet/venter på resultat. 

Mer om det: husk at opplysninger om at dine ansatte har symptomer, er smittet og/eller er i karantene grunnet påvist smitte, er en helseopplysning og må da behandles under strengere krav. At dine ansatte er i karantene uten at årsaken er oppgitt, har reist til utlandet eller har vært i kontakt med en person som er smittet, er imidlertid ikke å anse som helseopplysninger. Husk også at dine ansatte må oppfylle sin plikt til å medvirke til å skape et sikkert arbeidsmiljø etter arbeidsmiljøloven § 2-2 ved f.eks. å varsle deg som arbeidsgiver dersom de har fått symptomer, er smittet og/eller er i karantene og dette kan ha konsekvenser for arbeidsmiljøets forsvarlighet. Dette gir deg rett som arbeidsgiver til å oppfordre dine ansatte om å gi slik informasjon.

Du kan, i samråd med de berørte ansatte, formidle informasjon om smitte eller smitterisiko du mottar om medarbeidere innad i virksomheten dersom dette begrenses til de ansatte som kan ha behov for disse opplysningene, for eksempel nære medarbeidere som har vært i kontakt med vedkommende osv. Du bør begrense den informasjonen som formidles videre, til et minimum. 

Du kan formidle informasjon til eksterne aktører (f.eks. kunder eller leverandører) om at den ansatte har hjemmekontor og kan kontaktes med mindre du og den ansatte har avtalt noe annet. Du kan imidlertid ikke (uten samtykke fra den/de det gjelder) formidle informasjon til eksterne aktører om at dine ansatte har symptomer, er smittet og/eller i karantene.  

Du kan be besøkende om å opplyse om de har hatt symptomer når de skal besøke arbeidsplassen.

Mer om det: Datatilsynet har foreløpig ikke tatt stilling til dette spørsmålet. Det franske og det italienske Datatilsynet har så langt adoptert en strengere tilnærming, hvor innsamlingen av besøkendes helseopplysninger som hovedregel ikke skal være tillatt. Vi mener at så lenge arbeidsgiver kan begrunne at innsamling av slike helseopplysninger er nødvendig for å hindre/begrense smittefaren innad i virksomheten, f.eks, for å verne egne ansattes liv og helse iht. arbeidsmiljøloven § 4-1, vil arbeidsgiver ha lovlig behandlingsgrunnlag for å samle inn opplysninger om besøkendes symptomer. Vi anbefaler at du som arbeidsgiver uansett minner potensielle besøkende om at de ved symptomer skal de følge helsemyndighetenes råd om å oppholde seg hjemme. 

Du kan dele personopplysninger, inkl. helseopplysninger, om dine ansatte med helsemyndigheter etter deres anmodninger. 

Mer om det: GDPR artikkel 9 nr. 2 bokstav (i), jf. bl.a. smittevernloven, gir helsemyndigheter hjemmel for å kreve tilgang til de helseopplysningene som arbeidsgiveren besitter. 

Du må gi dine ansatte informasjon om hvordan deres personopplysninger blir håndtert i en slik situasjon, hvem som vil få tilgang til disse, hvordan og hvor lenge de skal lagres osv. Vi anbefaler at arbeidsgiver lager en standard personvernerklæring spesielt rettet mot behandling av dine ansattes personopplysninger i krisesituasjoner slik som denne, som du tilgjengeliggjør på firmaets intranett eller sender til alle ansatte på e-post.

Du kan lagre helseopplysninger om dine ansatte så lenge det er nødvendig, og sannsynlig ikke mer enn 30 dager.

Mer om det: Datatilsynet har foreløpig ikke tatt stilling til lagringstiden av helseopplysninger i koronakrisen. Helsemyndighetene mener at en kan være smittebærer i 14 dager etter å ha blitt smittet. Forskningen har også visst at i noen enkelte tilfeller vil en person kunne være smittebærer opp til 20 dager etter å ha blitt smittet. Inkubasjonstiden er, ifølge WHO, 5 til 6 dager, men dette kan variere fra 0 til 14 dager.  Ut fra disse tallene, mener vi at en rimelig lagringsperiode av helseopplysninger om dine ansatte vil være maksimum 30 dager. 

Du kan ikke samle inn helseopplysninger om dine ansattes pårørende, med mindre dette er nødvendig for å tilpasse bemanningssituasjonen e.l.

Mer om det: det er foreløpig uklart hvorvidt en arbeidsgiver kan be sine ansatte om å oppgi informasjon om deres families helsetilstand. I Frankrike og i Italia er hovedregelen at dette ikke skal være tillatt. I Norge vil det, slik vi ser det, fortsatt være slik at en arbeidsgiver må kunne ha tilgang til en rekke opplysninger om sine ansatte for å kunne tilpasse seg til den spesielle arbeidssituasjonen de står overfor. Dersom en ansatt har f.eks. smittet barn som trenger omsorg, foreligger det, slik vi ser det, gode grunner iht. GDPR artikkel 9 nr. 2 bokstav b) for at en arbeidsgiver skal kunne be om denne informasjonen mht. riktig fordeling av arbeidsoppgaver.   

Merk at rådene i dette nyhetsbrevet kan endre seg avhengig av utviklingen av koronaviruset, myndighetenes beslutninger og tiltak samt Datatilsynets oppdateringer. Alle bør holde seg oppdaterte på utviklingen ved å følge med på informasjon fra Folkehelseinstituttet, regjeringen og Datatilsynet. Har du spørsmål til hvordan din virksomhet skal håndtere tiltak i forbindelse med spredningen av koronaviruset, ta kontakt med vårt ekspertteam:

Tommy Dahlen, Andreas NordbyFlorine Wettly og Andrea Tolo Alver.

Dersom du har spørsmål som vedrører arbeidsrettslige problemstillinger, ta kontakt med vår arbeidsrettsavdeling. Henvendelser kan sendes direkte til Frode Martin Toftevåg

Kompetanse

Kontaktpersoner