NO
HR-jus Personopplysninger

Husk på personvernet ved mottak av medarbeideres testresultater

logo
Jusnytt
calendar 11. februar 2021
globus Norge, Danmark, Sverige

For øyeblikket undersøker det danske Datatilsynet en sak om en bedrift som angivelig har tatt i bruk en WhatsApp-gruppe for å utveksle testresultater. Med de mange reglene som enten gir adgang til å kreve at medarbeidere blir testet eller krever at bedrifter får testet tilreisende medarbeidere, er det viktig at bedrifter samtidig er oppmerksomme på hvordan de sensitive opplysningene blir behandlet.

Medarbeidere hos en testutbyder hadde angivelig blitt instruert til å ta i bruk en WhatsApp-gruppe til å håndtere opplysninger om personer som hadde testet positivt. Det danske datatilsynet har som konsekvens iverksatt en undersøkelse for blant annet å fastslå hvem som var dataansvarlig, om det foregikk en videreformidling av opplysninger og om det forelå passende sikkerhetstiltak.

Bedrifter har adgang til å kreve at medarbeidere testes og motta testresultatet når dette er nødvendig for å verne liv og helse. Bedrifter kan også ha krav på å motta og behandle informasjon om at en medarbeider er eller har vært smittet med koronaviruset i forbindelse med bedriftens plikt til å betale sykepenger.

Testresultater er helseopplysninger

Når bedrifter i den forbindelse mottar medarbeidernes testresultater er det imidlertid avgjørende å være oppmerksom på at testresultatet avslører opplysninger om medarbeidernes helse. Derfor er det snakk om en sensitiv personopplysning, og det utløser høyere krav under personopplysningsreglene.

Utover de forskjellige kravene som gjelder, avhengig av hvilke av de to regelsettene det er snakk om, må bedrifter som dataansvarlig derfor i alle tilfeller særlig være oppmerksomme på:

  • At det er krav til en såkalt «dobbelthjemmel» under både artikkel 6 og 9 i forordningen

  • At det gjelder en separat opplysningsplikt under forordningen om behandlingsaktiviteten

  • At det skal iverksettes økte sikkerhetstiltak ved behandling av sensitive opplysninger

  • At det etter behandlingsprinsippene gjelder et krav om dataminimering, så vidt mulig

  • At de nye behandlingsaktivitetene vil kreve oppdateringer av interne fortegnelser

IUNO mener

Bedrifter må være oppmerksomme på at jo mer sensitiv opplysning det er snakk om, jo strengere krav stiller personopplysningsreglene til behandlingsaktiviteten. Det betyr også at det er en skjerpende omstendighet i Datatilsynets vurdering i tilfelle av overtredelse av reglene, om det er snakk om en opplysning av sensitiv karakter.

IUNO anbefaler også at bedrifter som tar i bruk et eller begge regelsett nøye undersøker og planlegger hvordan de forskjellige dokumentasjonskravene kan oppfylles best, sideløpene med de høye kravene under personopplysningsreglene.

Medarbeidere hos en testutbyder hadde angivelig blitt instruert til å ta i bruk en WhatsApp-gruppe til å håndtere opplysninger om personer som hadde testet positivt. Det danske datatilsynet har som konsekvens iverksatt en undersøkelse for blant annet å fastslå hvem som var dataansvarlig, om det foregikk en videreformidling av opplysninger og om det forelå passende sikkerhetstiltak.

Bedrifter har adgang til å kreve at medarbeidere testes og motta testresultatet når dette er nødvendig for å verne liv og helse. Bedrifter kan også ha krav på å motta og behandle informasjon om at en medarbeider er eller har vært smittet med koronaviruset i forbindelse med bedriftens plikt til å betale sykepenger.

Testresultater er helseopplysninger

Når bedrifter i den forbindelse mottar medarbeidernes testresultater er det imidlertid avgjørende å være oppmerksom på at testresultatet avslører opplysninger om medarbeidernes helse. Derfor er det snakk om en sensitiv personopplysning, og det utløser høyere krav under personopplysningsreglene.

Utover de forskjellige kravene som gjelder, avhengig av hvilke av de to regelsettene det er snakk om, må bedrifter som dataansvarlig derfor i alle tilfeller særlig være oppmerksomme på:

  • At det er krav til en såkalt «dobbelthjemmel» under både artikkel 6 og 9 i forordningen

  • At det gjelder en separat opplysningsplikt under forordningen om behandlingsaktiviteten

  • At det skal iverksettes økte sikkerhetstiltak ved behandling av sensitive opplysninger

  • At det etter behandlingsprinsippene gjelder et krav om dataminimering, så vidt mulig

  • At de nye behandlingsaktivitetene vil kreve oppdateringer av interne fortegnelser

IUNO mener

Bedrifter må være oppmerksomme på at jo mer sensitiv opplysning det er snakk om, jo strengere krav stiller personopplysningsreglene til behandlingsaktiviteten. Det betyr også at det er en skjerpende omstendighet i Datatilsynets vurdering i tilfelle av overtredelse av reglene, om det er snakk om en opplysning av sensitiv karakter.

IUNO anbefaler også at bedrifter som tar i bruk et eller begge regelsett nøye undersøker og planlegger hvordan de forskjellige dokumentasjonskravene kan oppfylles best, sideløpene med de høye kravene under personopplysningsreglene.

Motta nyhetsbrevet vårt

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfullmektig

Sofie

Aurora Braut Bache

Advokatfullmektig

Lignende nytt

logo
HR-jus

11. april 2021

Gjelder lojalitetsplikten under permittering?

logo
HR-jus

18. mars 2021

Nytt og høyere vederlag for medarbeiders oppfinnelse

logo
HR-jus

18. mars 2021

Permitteringsperioden utvides til 1 oktober 2021

logo
HR-jus

14. mars 2021

Usaklig med oppsigelse når den angitte årsak ikke er den reelle årsak

logo
Personopplysninger

11. mars 2021

Kameraovervåkning på arbeidsplassen

logo
HR-jus

28. februar 2021

Ubetalte reguleringspremier ble også overført ved virksomhetsoverdragelse

Learning

logo
HR-jus
2. september 2019

Livestream om omstrukturering i de nordiske landene (engelsk)

logo
HR-jus
2. september 2019

Morgonmøte om omstrukturering i de nordiske landene (engelsk) (København)