GDPR i förhållande till coronaviruset

Med anledning av coronavirusets spridning har behov uppkommit för företag att informera anställda och samarbetspartners om smittade personer i verksamheten. Det kan också finnas ett behov av att informera om personer som beordrats i karantän på grund av risk för smittspridning. JP Infonets expert advokat Cecilia Torelm Tornberg redogör för möjligheterna att kommunicera kring coronaviruset i ljuset av dataskyddsförordningen.

RÄTTSLIG REGLERING

I Artikel 9 dataskyddsförordning regleras personuppgifter som till sin natur är särskilt känsliga. Bestämmelsen förbjuder som huvudregel behandling av personuppgifter som innefattar uppgift om exempelvis etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller hälsa.

Artikel 9 Behandling av särskilda kategorier av personuppgifter

1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
   
   
2. Punkt 1 ska inte tillämpas om något av följande gäller: 
   
   a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.
   
   b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.
   
   c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
   
   d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.
   
   e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
   
   f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.
   
   g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
   
   h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.
   
   i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.
   
   j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
   
   
3. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
   
   
4. Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

ANALYS

Personuppgifter om hälsa är uppgifter som hänför sig till en persons hälsotillstånd som ger information om personens tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Uppgifter om att någon är smittad av coronavirus räknas därmed som en personuppgift om hälsa. En sådan uppgift är en känslig personuppgift som enligt huvudregeln i artikel 9 dataskyddsförordningen inte får behandlas. Undantag kan dock göras enligt artikel 9 om behandlingen kan anses nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan. Enligt Skäl 54 i dataskyddsförordningen bör begreppet folkhälsa tolkas enligt definitionen i Europaparlamentet och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet. Detta skulle motivera att uppgifter ges ut till exempelvis samordnande myndigheter i ett led att försöka kartlägga eller motverka spridning.

Enligt Artikel 9 b) är det vidare möjligt att behandla personuppgifter om hälsa om det kan anses nödvändigt för att arbetsgivaren ska kunna fullgöra sina skyldigheter inom arbetsrätten. Inom det arbetsrättsliga ansvaret ligger bland annat att agera för att minska risken för att smittan sprider sig på arbetsplatsen. Det kan därför vara möjligt att informera anställda om att arbetstagare testats positivt. Dock ska företaget i detta fall värna om den smittade personens integritet och om möjligt undvika att övriga medarbetare kan identifiera personen. I första hand bör företaget informera om att ett fall konstaterats på arbetsplatsen och uppmana anställda att vara observanta på egna symptom. Om det finns särskilda skäl att namnge en smittad exempelvis för att skydda särskilt utsatta grupper bör personen bara namnges till utvalda personer som behöver ta del av informationen. Informerande bör alltid ske i samråd med den smittade.

Uppgifter om att anställd är satt i karantän eller har återvänt från ett riskområde anses inte som en personuppgift om hälsa. Däremot anses det vara en personuppgift vilket innebär att behandling av sådana uppgifter kräver en rättslig grund enligt artikel 6 i dataskyddsförordningen samt att behandlingen följer de grundläggande principerna i Artikel 5. Detta innebär bland annat en arbetsgivare i viss mån kartlägger sina anställdas resor och hälsotillstånd. Dock får företaget inte efterfråga mer information än nödvändigt. Det kan exempelvis finnas skäl att registrera vilka medarbetare som befunnit sig i ett riskområde på privat eller tjänsteresa. Däremot kanske inte mer detaljerade frågor om aktiviteter under en privat resa är nödvändigt. 

Sammanfattningsvis finns det vissa möjligheter för företag att behandla uppgifter om anställdas smitta eller risk för smitta enligt Dataskyddsförordningen. Det är dock nödvändigt att iaktta försiktighet och väga tilltänkt behandlingen mot den verkliga effekt behandlingen kan ha i arbetet mot smittspridning. Att samla in för mycket information eller att dela informationen för brett i organisationen strider mot dataskyddsförordningen.

Författad av 

Cecilia Torelm Tornberg
Advokat/Partner, Advokatfirman MarLaw

Cecilia Torelm Tornberg är advokat och delägare på Advokatfirman MarLaw. Hon är  specialiserad på marknads- och immaterialrätt, avtalsrätt samt säljfrämjande åtgärder i Sverige och Norden. Cecilia är verksam som processombud vid domstol och biträder vid förhandlingar med myndigheter och privata organ. Hon anlitas flitigt som föreläsare av Berghs School of Communication, universitet, högskolor, organisationer och företag.

Den här analysen är publicerad i JP Säkerhetsnet. Om du vill ha en djupare bevakning kring dessa frågor är du varmt välkommen att testa tjänsten helt kostnadsfritt. Ansök om att prova gratis här. 

Publicerad 18 mar 2020