Husk på personvernet ved mottak av medarbeideres testresultater
For øyeblikket undersøker det danske Datatilsynet en sak om en bedrift som angivelig har tatt i bruk en WhatsApp-gruppe for å utveksle testresultater. Med de mange reglene som enten gir adgang til å kreve at medarbeidere blir testet eller krever at bedrifter får testet tilreisende medarbeidere, er det viktig at bedrifter samtidig er oppmerksomme på hvordan de sensitive opplysningene blir behandlet.
Medarbeidere hos en testutbyder hadde angivelig blitt instruert til å ta i bruk en WhatsApp-gruppe til å håndtere opplysninger om personer som hadde testet positivt. Det danske datatilsynet har som konsekvens iverksatt en undersøkelse for blant annet å fastslå hvem som var dataansvarlig, om det foregikk en videreformidling av opplysninger og om det forelå passende sikkerhetstiltak.
Bedrifter har adgang til å kreve at medarbeidere testes og motta testresultatet når dette er nødvendig for å verne liv og helse. Bedrifter kan også ha krav på å motta og behandle informasjon om at en medarbeider er eller har vært smittet med koronaviruset i forbindelse med bedriftens plikt til å betale sykepenger.
Testresultater er helseopplysninger
Når bedrifter i den forbindelse mottar medarbeidernes testresultater er det imidlertid avgjørende å være oppmerksom på at testresultatet avslører opplysninger om medarbeidernes helse. Derfor er det snakk om en sensitiv personopplysning, og det utløser høyere krav under personopplysningsreglene.
Utover de forskjellige kravene som gjelder, avhengig av hvilke av de to regelsettene det er snakk om, må bedrifter som dataansvarlig derfor i alle tilfeller særlig være oppmerksomme på:
- At det er krav til en såkalt «dobbelthjemmel» under både artikkel 6 og 9 i forordningen
- At det gjelder en separat opplysningsplikt under forordningen om behandlingsaktiviteten
- At det skal iverksettes økte sikkerhetstiltak ved behandling av sensitive opplysninger
- At det etter behandlingsprinsippene gjelder et krav om dataminimering, så vidt mulig
- At de nye behandlingsaktivitetene vil kreve oppdateringer av interne fortegnelser
IUNO mener
Bedrifter må være oppmerksomme på at jo mer sensitiv opplysning det er snakk om, jo strengere krav stiller personopplysningsreglene til behandlingsaktiviteten. Det betyr også at det er en skjerpende omstendighet i Datatilsynets vurdering i tilfelle av overtredelse av reglene, om det er snakk om en opplysning av sensitiv karakter.
IUNO anbefaler også at bedrifter som tar i bruk et eller begge regelsett nøye undersøker og planlegger hvordan de forskjellige dokumentasjonskravene kan oppfylles best, sideløpene med de høye kravene under personopplysningsreglene.
Medarbeidere hos en testutbyder hadde angivelig blitt instruert til å ta i bruk en WhatsApp-gruppe til å håndtere opplysninger om personer som hadde testet positivt. Det danske datatilsynet har som konsekvens iverksatt en undersøkelse for blant annet å fastslå hvem som var dataansvarlig, om det foregikk en videreformidling av opplysninger og om det forelå passende sikkerhetstiltak.
Bedrifter har adgang til å kreve at medarbeidere testes og motta testresultatet når dette er nødvendig for å verne liv og helse. Bedrifter kan også ha krav på å motta og behandle informasjon om at en medarbeider er eller har vært smittet med koronaviruset i forbindelse med bedriftens plikt til å betale sykepenger.
Testresultater er helseopplysninger
Når bedrifter i den forbindelse mottar medarbeidernes testresultater er det imidlertid avgjørende å være oppmerksom på at testresultatet avslører opplysninger om medarbeidernes helse. Derfor er det snakk om en sensitiv personopplysning, og det utløser høyere krav under personopplysningsreglene.
Utover de forskjellige kravene som gjelder, avhengig av hvilke av de to regelsettene det er snakk om, må bedrifter som dataansvarlig derfor i alle tilfeller særlig være oppmerksomme på:
- At det er krav til en såkalt «dobbelthjemmel» under både artikkel 6 og 9 i forordningen
- At det gjelder en separat opplysningsplikt under forordningen om behandlingsaktiviteten
- At det skal iverksettes økte sikkerhetstiltak ved behandling av sensitive opplysninger
- At det etter behandlingsprinsippene gjelder et krav om dataminimering, så vidt mulig
- At de nye behandlingsaktivitetene vil kreve oppdateringer av interne fortegnelser
IUNO mener
Bedrifter må være oppmerksomme på at jo mer sensitiv opplysning det er snakk om, jo strengere krav stiller personopplysningsreglene til behandlingsaktiviteten. Det betyr også at det er en skjerpende omstendighet i Datatilsynets vurdering i tilfelle av overtredelse av reglene, om det er snakk om en opplysning av sensitiv karakter.
IUNO anbefaler også at bedrifter som tar i bruk et eller begge regelsett nøye undersøker og planlegger hvordan de forskjellige dokumentasjonskravene kan oppfylles best, sideløpene med de høye kravene under personopplysningsreglene.
Lignende
Laget
Alexandra
Jensen
Juridisk rådgiver
Anders
Etgen Reitz
Partner
Caroline
Thorsen
Junior juridisk assistent
Cecillie
Groth Henriksen
Advokat
Johan
Gustav Dein
Advokatfullmektig
Julie
Meyer
Senior juridisk assistent
Kirsten
Astrup
Managing associate (permisjon)
Maria
Kjærsgaard Juhl
Juridisk rådgiver
Sofie
Aurora Braut Bache
Managing associate