Covid-19 og koronasmitte reiser særlige problemstillinger relatert til GDPR/og personvern. her besvarer vi noen av dem.
Helseopplysninger
Personopplysningsloven/GDPR åpner for at foretak kan behandle særlige kategorier av ansattes personopplysninger, også helseopplysninger, når det er nødvendig basert på de ansattes plikter eller rettigheter. Helseopplysninger er alle opplysninger som kan si noe om en persons nåværende, tidligere eller fremtidige fysiske eller psykiske helsetilstand. Merk spesielt følgende:
- Opplysninger om at noen er smittet med koronavirus er å regne som en helseopplysning.
- Opplysninger om at en ansatt har returnert fra et såkalt «risikoområde» er ikke å regne som en helseopplysning.
- Opplysninger om at noen er satt i karantene (uten å gi nærmere informasjon om årsaken) er ikke å regne som en helseopplysning.
Selv om et karanteneopphold ikke er en helseopplysning, er det fortsatt en personopplysning med sedvanlig krav til behandling av personopplysninger.
Informasjon om konkret smitte til ansatte
Som ledd i å gi relevant informasjon til ansatte og sikre et forsvarlig arbeidsmiljø kan arbeidsgiver informere om ansatte som er smittet eller som er i karantene, og grunnene for dette. Direkte berørte ansatte bør informeres i forkant, og evt tas med på råd om kommunikasjon til øvrige ansatte.
Informasjon om konkret smitte til eksterne
Datatilsynet har vurdert det slik at arbeidsgiver ikke skal videreformidle informasjon om at enkeltansatte er smittet og/eller er i karantene til utenforstående. Datatilsynets uttrykker at beskjeden til utenforstående som ønsker å få kontakt med ansatte som er smittet og er i karantene bør i utgangspunktet være at vedkommende ansatt er fraværende eller ikke tilgjengelig.
At en bedrift har innført (helt eller delvis) hjemmekontor kan selvsagt kommuniseres eksternt.
Registrertes rettigheter
Personopplysningsloven/GDPR gir en rekke rettigheter til registrerte, blant annet rett til informasjon og innsyn. Dette gjelder også for helseopplysninger.