meny

Coronaviruset och personuppgifter

Datainspektionen har fått frågor om coronaviruset och personuppgifter – särskilt med koppling till arbetslivet. Dataskyddsförordningen hindrar inte arbetsgivare från att vidta nödvändiga åtgärder för att minska smittspridningen. Men det är viktigt att samtidigt värna anställdas integritet och skydd för personuppgifter. Därför har vi tagit fram denna vägledning med svar på vanliga frågor.

Datainspektionen är medveten om att det med anledning av coronaviruset uppkommer nya frågor om vilka uppgifter som till exempel en arbetsgivare får registrera och dela med sig av inom och utanför organisationen. Situationen kan kräva att information snabbt måste samlas in för att vidta nödvändiga åtgärder. Samtidigt är uppgifter om hälsa känsliga personuppgifter. Det ställer höga krav på hur informationen hanteras. En arbetsgivare bör undvika att systematiskt samla in uppgifter om eventuella sjukdomstillstånd från anställda, eller deras anhöriga. De åtgärder som en arbetsgivare vidtar får heller aldrig gå så långt att arbetsgivaren i praktiken tar sig an uppgifter som myndigheter ska hantera.

När det gäller coronaviruset och personuppgifter är det viktigt att känna till följande:

  • Uppgifter om att någon är smittad av coronavirus räknas som en personuppgift om hälsa.

  • Uppgifter om att en anställd har återvänt från ett så kallat riskområde anses inte som en personuppgift om hälsa.

  • Uppgifter om att någon är i ”karantän” (med innebörden att hen av försiktighetsskäl inte vistas på arbetsplatsen) anses inte som en personuppgift om hälsa, om den inte innehåller närmare information om orsaken.

  • Uppgifter om att någon är satt i karantän enligt smittskyddslagen är däremot sannolikt en personuppgift om hälsa.

  • En uppgift om hälsa är en känslig personuppgift.

Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men arbetsgivare får behandla känsliga personuppgifter när det är nödvändigt för att kunna fullgöra sina skyldigheter inom arbetsrätten. På Arbetsmiljöverkets webbplats kan du läsa information om coronaviruset ur ett arbetsmiljöperspektiv.

Även uppgifter om enskilda som inte är hälsouppgifter är fortfarande personuppgifter. Det ställer vissa krav på behandlingen av uppgiften enligt dataskyddsförordningen. Bland annat måste de grundläggande principerna följas och behandlingen kräver en rättslig grund.

Datainspektionen vill betona att dataskyddsförordningen inte hindrar de nödvändiga åtgärder som behöver vidtas för att minska smittspridningen av coronaviruset. Det är däremot viktigt att enskildas rätt till privatliv och skyddet för personuppgifter värnas, även under dessa speciella omständigheter. Det innebär bland annat att en arbetsgivare bara får registrera de personuppgifter som är nödvändiga för det aktuella syftet och sedan ska begränsa åtkomsten till dem som behöver uppgifterna i arbetet. Enbart den information som den aktuella mottagaren behöver ska lämnas ut.

Den enskilda ska få information om hur hans eller hennes personuppgifter behandlas, till exempel i vilket syfte. Informationen ska vara lättillgänglig med ett klart och tydligt språk. En arbetsgivare måste alltid skydda de personuppgifter som behandlas genom att vidta nödvändiga säkerhetsåtgärder så att inte obehöriga kommer åt informationen. Det är särskilt viktigt när det rör sig om känsliga personuppgifter. Arbetsgivaren bör också dokumentera vilka åtgärder som har vidtagits och vilka bedömningar som har gjorts. 

Socialtjänst

Datainspektionen har besvarat en förfrågan från Sveriges Kommuner och Regioner (SKR) beträffande socialtjänstens möjligheter till användning av videotjänster. Datainspektionens svar ger vägledning om bland annat ansvarsskyldigheten och vad som kännetecknar socialtjänsten när det gäller art, omfattning, sammanhang och ändamål som grund för att bestämma säkerhetsåtgärder.

Läs Datainspektionens svar till Sveriges Kommuner och Regioner

Vägledning från EU

EU-kommissionen och Europeiska dataskyddsstyrelsen arbetar löpande med att ge vägledning kring behandlingen av personuppgifter med anledning av corona.

Vägledning från Europarådet  

Europarådet är en mellanstatlig europeisk samarbetsorganisation med 47 medlemsstater, däribland Sverige, som har till uppgift att främja demokrati och mänskliga rättigheter.

Europarådet arbetar för närvarande, med anledning av coronakrisen, med att ge europeiska stater verktyg som ska hjälpa dem att respektera demokrati, mänskliga rättigheter och rättsstatsprincipen trots rådande omständigheter.

På dataskyddsområdet har Europarådet antagit uttalanden om rätten till personlig integritet med anledning av covid-19 och användandet av digitala smittspårningsapplikationer som används för att stävja utbrottet av covid-19. Uttalandena är publicerade på engelska på Europarådets webbplats.

Frågor och svar

Vad är personuppgifter om hälsa?

Personuppgifter om hälsa är alla uppgifter som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag från förbudet. Här kan du läsa mer om känsliga personuppgifter.

Vilka rättigheter har den enskilda?

Dataskyddsförordningen ger vissa rättigheter till dem vars personuppgifter behandlas (de registrerade), bland annat rätt till information och rätt till registerutdrag. Rättigheterna omfattar även hälsouppgifter. Här kan du läsa mer om de registrerades rättigheter.

Får jag som arbetsgivare informera anställda om att en kollega kan ha smittats av coronaviruset?

Arbetsgivaren ska vidta alla åtgärder som behövs för att förbygga att arbetstagare utsätts för ohälsa. I normalfallet borde det gå att informera de anställda som behöver informationen utan att nämna namnet på kollegan som eventuellt smittats. Endast i undantagsfall bör det vara nödvändigt att tala om vem den drabbade är. Om arbetsgivaren bedömer att det, på grund av exempelvis skyldigheter inom arbetsrätten, är absolut nödvändigt att avslöja vem som smittats ska den anställda i fråga informeras om detta i förväg. Arbetsgivaren bör också vidta åtgärder för att skydda den anställdas integritet. Informationen som lämnas ska alltid vara saklig och korrekt och får inte vara kränkande för den anställda som berörs. Som alltid gäller att du inte ska registrera eller lämna ut fler uppgifter än vad som är nödvändigt för att uppnå syftet. Utöver dataskyddsreglerna finns det regler om tystnadsplikt och sekretess som kan påverka vilka uppgifter om anställdas sjukdom som en arbetsgivare får lämna ut.

Får vi sprida informationen om att en anställd arbetar hemma efter att hen varit utomlands/i ett riskområde?

Det är tillåtet att informera internt om att en anställd arbetar hemifrån och om hur hen kan nås. Datainspektionen rekommenderar dock att ni som arbetsgivare inte uppger orsaken. När det gäller att informera personer utanför organisationen, bör arbetsgivaren noga överväga vilka som behöver få informationen och inte heller då ange orsaken.

Om en anställd arbetar hemifrån bör arbetsgivaren i samråd med den anställda bestämma hur kontaktuppgifter kan förmedlas till utomstående på ett integritetsvänligt sätt.

Vad ska vi svara utomstående som söker en anställd som inte är i tjänst på grund av coronaviruset?

Meddelandet till utomstående som vill kontakta anställda som är smittade och i karantän bör i princip vara att den anställda i fråga är frånvarande eller inte tillgänglig.  

Får vi samla in kontaktuppgifter till närmast anhöriga från våra anställda?

Både arbetsgivare och anställda har ofta ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig till den anställda vid olyckshändelse eller sjukdom under arbetstid. Datainspektionen anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning eller, om arbetsgivaren är en myndighet, ett allmänt intresse.

Hur länge får vi spara uppgifter?

Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. När ändamålen med en viss behandling är uppfyllda är huvudregeln att uppgifterna i fråga ska avidentifieras eller utplånas.

Får vi mäta arbetstagares kroppstemperatur?  

Att mäta enskildas kroppstemperatur är ett betydande integritetsintrång. Att bedöma arbetsgivares rätt att göra kontroller och arbetstagares skyldighet att genomgå kontrollerna styrs dock i huvudsak av arbetsrättsliga regler och omfattas inte av Datainspektionens befogenheter som tillsynsmyndighet. Om en arbetsgivare väljer att registrera personuppgifter från kontrollen, till exempel i ett it-baserat besökssystem, omfattas däremot den behandlingen av dataskyddsförordningen och därmed Datainspektionens befogenheter som tillsynsmyndighet. En sådan registrering av personuppgifter är normalt inte tillåten.

Får vi som arbetsgivare ensidigt bestämma om anställda måste arbeta hemifrån eller på kontoret med anledning av coronaviruset?

Frågor om ifall en arbetsgivare får kräva eller förbjuda att anställda arbetar hemifrån är inte en dataskyddsfråga. Den faller därmed utanför Datainspektionens verksamhetsområde.

Är det möjligt att ha ett livevideomöte med en patient?

Livevideomöten kan genomföras om vårdgivare och personuppgiftsbiträden vidtar säkerhetsåtgärder.

Det finns regler om säkerhetsåtgärder vid behandling av personuppgifter om patienter. Reglerna finns i GDPR, patientdatalagen och Socialstyrelsens föreskrifter HSLF-FS 2016:40. Reglerna ålägger personuppgiftsansvariga och personuppgiftsbiträden att vidta ett antal säkerhetsåtgärder när personuppgifter behandlas via t.ex. öppet nät. Det handlar framför allt om att skydda patientuppgifter från obehörigt röjande och obehörig åtkomst genom t.ex. kryptering och säker inloggning.

Innan en personuppgiftsbehandling påbörjas är det alltid viktigt att ta fram en process och analysera dels hur patientuppgifterna överförs mellan olika aktörer, dels hur uppgifterna behandlas i och överförs mellan olika it-system. En sådan analys är relevant för att kunna bedöma om säkerhetskraven kan uppfyllas med livevideosystemet. Det är vårdgivaren och vårdgivarens personuppgiftsbiträde som behöver göra flödes- och säkerhetsanalyserna och dokumentera bedömningar och beslut. Notera att om servrar som hanterar patientuppgifter finns i ett land utanför EU/EES-området behöver GDPR:s bestämmelser om tredjelandsöverföringar följas.

Skola - får man livesända skolavslutningar?

Vad gäller för skolavslutningar och studentutspring år 2020? Vad ska den personuppgiftsansvariga tänka på om avslutningen livesänds?

Ja, det kan i den nu rådande Covid 19-situationen vara förenligt med dataskyddsförordningen (GDPR). Det krävs då att man tänkt igenom kraven på integritetsskydd och anpassat filmningen bland annat till kraven på uppgiftsminimering. Andra krav är att man undviker behandling av känsliga uppgifter, tänker på det särskilda skyddsbehov som gäller för barn och proportionaliteten och vidtar tillräckliga säkerhetsåtgärder. Läs mer om vad som gäller enligt GDPR.

Mer information hos Folkhälsomyndigheten
Om en arbetsgivare har fått veta att en anställd är smittad eller i karantän, finns råd för uppföljning och åtgärder för att förhindra smittspridning på Folkhälsomyndighetens webbplats.

 

 Texten är uppdaterad 2020-06-02, kl. 11.17