Personvern | Behandling av personopplysninger etter Covid-19-utbruddet

I forbindelse med Covid-19 oppstod særlige behov for å etablere tiltak for å skjerme ansatte mot smitte. Mange virksomheter sitter derfor på en rekke personopplysninger som ble samlet inn i forbindelse med smitteverntiltak. Når samfunnet gradvis åpnes opp igjen, og smittefaren er på vei ned, oppstår en rekke spørsmål om adgangen til bruk av opplysningene og hvor lenge opplysningene kan lagres.

Hvilke personopplysninger kan virksomheter behandle?

Opplysninger om at en person er smittet med Covid-19 utgjør en helseopplysning. Det antas at opplysninger om at en person har vært smittet også regnes som helseopplysninger, og skal behandles deretter. Det samme gjelder opplysninger som er samlet inn i forbindelse med kartlegging av risikogrupper. Behandling av helseopplysninger forutsetter at et av unntakene fra forbudet i GDPR artikkel 9 kommer til anvendelse.

Arbeidsgivere kan behandle helseopplysninger når det er nødvendig for å sikre et forsvarlig arbeidsmiljø, jf. unntaket i GDPR artikkel 9 nr. 2 (b). Hvilke opplysninger som kan behandles beror på en konkret vurdering, blant annet knyttet til virksomhetens behov, hvordan den er organisert og hvilke tiltak som er implementert. I alle tilfeller skal opplysningene begrenset til det som er nødvendig, jf. prinsippet om dataminimering.

Et særlig spørsmål er om arbeidsgiver kan pålegge ansatte å teste seg for koronasmitte eller antistoffer. En slik testing vil utgjøre en behandling av helseopplysninger som krever hjemmel etter GDPR artikkel 9. Dersom testing er nødvendig for å sikre et forsvarlig arbeidsmiljø, kan det trolig gjennomføres. Lovligheten av gjennomføringen av et slikt tiltak bør likevel vurderes konkret i det enkelte tilfellet og testing bør gjennomføres på en måte som hindrer arbeidsgiver i å motta mer informasjon enn det som er nødvendig. Testing vil også utgjøre et kontrolltiltak etter arbeidsmiljøloven og må derfor ha saklig grunn i virksomhetens forhold og ikke innebære en uforholdsmessig belastning for den ansatte.

Dersom en virksomhet ønsker å behandle helseopplysninger om andre personer enn ansatte, må virksomheten trolig innhente vedkommendes samtykke til dette. Dette vil for eksempel være tilfellet hvis en virksomhet vil ha smitteopplysninger om den ansattes ektefelle eller andre familiemedlemmer eller nærstående.

Et praktisk spørsmål er hvilken adgang arbeidsgiver har til å føre oversikt over hvilke områder den ansatte reiser til. Slike opplysninger vil ikke regnes som helseopplysninger. De vil derfor ikke være underlagt de særlige vilkårene for behandling etter GDPR artikkel 9, men arbeidsgiver må fremdeles sikre at de øvrige vilkårene for behandling er oppfylt. Tilsvarende vil opplysninger om at en ansatt har returnert fra et risikoområde eller er satt i karantene (uten nærmere informasjon om årsaken) ikke regnes som helseopplysninger.

Hvor lenge kan virksomheten lagre personopplysningene?

Personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for. Et spørsmål i forbindelse med Covid-19-utbruddet er om man kan oppbevare personopplysningene til neste «smittebølge», eller eventuelt til viruset er helt under kontroll. Svaret beror på hva som kan anses nødvendig, og Datatilsynet har uttalt at det bør settes strenge grenser for datalagring. Fristene bør settes på bakgrunn av medisinsk relevans. Eksempelvis vil opplysninger om ansattes reiser til risikoområder kun være nødvendige for gjennomføring av smitteverntiltak i en kort periode etter reisen. Opplysninger om at en ansatt tidligere har vært smittet eller har sittet i karantene skal slettes med mindre fremtidig bruk er nødvendig for å sikre et forsvarlig arbeidsmiljø. Det antas at det normalt ikke er tilfellet.

Hvordan kan virksomheten lagre personopplysningene?

Virksomheten må opptre proaktivt og etablere nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves og for å ivareta personvernet. I forbindelse med Covid-19-utbruddet behandler mange virksomheter både en større mengde og flere typer personopplysninger enn normalt. Innsamling av helseopplysninger stiller strengere krav til sikkerhetstiltak, og det bør etableres tilgangsbegrensning til slike opplysninger.

Hva forventer Datatilsynet?

Datatilsynet har uttalt at det har forståelse for at personvernregelverket ikke praktiseres like strengt i spesielle eller kritiske situasjoner. Det anbefales likevel at man dokumenterer de vurderingene man gjør så godt som mulig, blant annet av hensyn til eventuell etterkontroll. Tilsynet har varslet at det kan bli aktuelt å ta opp enkeltsaker og gjennomføre tilsyn for å sjekke om tiltak faktisk er gjennomført.

BAHR mener:

GDPR gjelder også under Covid-19-pandemien, selv om virksomhetene nok har litt mer fleksibilitet i en slik ekstraordinær situasjon. Det er imidlertid viktig å gjenopprette normaltilstand så snart krisesituasjonen er over. Virksomhetene bør kartlegge all behandling av personopplysninger som har sammenheng med Covid-19 og vurdere om det foreligger tilstrekkelig grunnlag for fortsatt behandling, herunder for å kunne behandle helseopplysninger, og om videre behandling er nødvendig. Slik kartlegging vil være naturlig å gjøre i forbindelse med oppdatering av behandlingsprotokollen (GDPR artikkel 30), og protokollen kan være et nyttig verktøy for å sikre dokumentasjon og etterlevelse av reglene. I praksis vil det særlig være viktig å sikre at virksomheten har gode rutiner for sletting av personopplysninger som ble innhentet i forbindelse med Covid-19 når det ikke er grunnlag for fortsatt behandling.