Coronavirus i Danmark – Hvad så med GDPR?

Coronavirussen (COVID-19) har også nået Danmark. I denne nyhed ser vi på de databeskyttelsesretlige aspekter og udfordringer, som arbejdsgivere møder som følge af virusudbruddet. Hvad må man f.eks. spørge sine medarbejdere om i forsøget på at identificere symptomer hos dem? Og hvad må man dele af informationer om medarbejderne internt på arbejdspladsen?

Coronavirussen (COVID-19) har også nået Danmark. I denne nyhed ser vi på de databeskyttelsesretlige aspekter og udfordringer, som arbejdsgivere møder som følge af virusudbruddet. Hvad må man f.eks. spørge sine medarbejdere om i forsøget på at identificere symptomer hos dem? Og hvad må man dele af informationer om medarbejderne internt på arbejdspladsen?

GDPR OG CORONAVIRUS PÅ ARBEJDSPLADSEN

Databeskyttelsesreglerne i databeskyttelsesforordningen (GDPR) og databeskyttelsesloven indeholder bestemmelser, der har til formål at beskytte personer mod at få deres personoplysninger uretmæssigt behandlet.
Særligt er dette beskyttelseshensyn rettet mod personoplysninger, som er af følsom karakter, herunder helbredsoplysninger.

Retningslinjer fra Datatilsynet

I en nyhed af 5. marts 2020 har Datatilsynet forholdt sig til de databeskyttelsesretlige aspekter ved arbejdsgivernes behandling af personoplysninger om de ansatte i forbindelse med Coronavirus.

Datatilsynet udtaler, at det er de ansættelsesretlige regler og eventuelle offentligretlige regler om sundhed, der regulerer, hvad arbejdsgiveren kan bede den ansatte oplyse, og hvad den ansatte selv er forpligtet til at oplyse til sin arbejdsgiver. 

Overordnede oplysninger om de ansatte

Datatilsynet udtaler i den forbindelse, at såfremt det ikke er i strid med de ovennævnte regler, vil en arbejdsgiver inden for rammerne af databeskyttelsesreglerne i vidt omfang kunne behandle og videregive oplysninger, der ikke er så konkrete og specifikke, at de kan anses for helbredsoplysninger, når situationen nødvendiggør det. Som eksempler nævner Datatilsynet følgende:

  • At en ansat er hjemvendt fra et ”risikoområde”
  • At en ansat er i hjemmekarantæne (uden nærmere at angive årsagen)
  • At en ansat er syg (uden nærmere at angive årsagen)

Der er således tale om oplysninger, der relaterer sig til medarbejderens helbred, men som ikke er tilstrækkelig konkrete og specifikke til at være helbredsoplysninger.

Helbredsoplysninger om de ansatte

Egentlige helbredsoplysninger omfattet af databeskyttelsesforordningens artikel 9 kan efter omstændighederne behandles og videregives af arbejdsgiveren – f.eks. at en medarbejder er smittet med virussen. Det gælder, eksempelvis i tilfælde hvor det er nødvendigt, for at ledelsen og kollegaer kan træffe nødvendige forholdsregler.

Arbejdsgiveren skal dog overholde de grundlæggende principper i databeskyttelsesforordningens artikel 5. Arbejdsgiveren bør derfor ifølge Datatilsynet altid overveje:

  • Om der er en god grund til at behandle eller videregive oplysningerne
  • Om det er nødvendigt at specificere oplysningerne, herunder om formålet kan opnås ved at ”fortælle mindre”
  • Om det er nødvendigt at nævne navne – f.eks. navnet på den person, der er smittet og/eller i hjemmekarantæne

TILMELD DIG VORES NYHEDSBREVE

Her kan du tilmelde dig ét eller flere af vores nyhedsbreve, som vi udgiver løbende.