SE
HR-juridik Personuppgifter

Kom ihåg skyddet för personuppgifter när ni mottar anställdas testresultat

logo
Juridiknyheter
calendar 25. februar 2021
globus Sverige, Danmark, Norge

Just nu granskar danska Datatilsynet ett företag som påstås ha använt en WhatsApp-grupp till att utbyta testresultat. Även i Sverige är det viktigt att företag, innan de över huvud taget inhämtar information om anställdas eventuella testresultat, är väldigt uppmärksamma på om och hur dessa känsliga personuppgifter får behandlas.

Anställda hos en testleverantör i Danmark påstås ha blivit instruerade att använda en WhatsApp-grupp för att hantera uppgifter om personer som testat positivt för coronavirus. Danska Datatilsynet har som konsekvens inlett en granskning bland annat för att fastslå vem som var personuppgiftsansvarig, om det skedde en överföring av personuppgifter samt om det hade vidtagits lämpliga säkerhetsåtgärder.

I Sverige finns inga givna situationer där företag kan kräva att anställda testar sig för coronavirus. Möjligheten att ställa ett sådant krav behöver avgöras från fall till fall, genom en avvägning mellan företagets intresse av att testa de anställda, och de anställdas intresse av personlig integritet. Är företaget bundet av kollektivavtal bör det alltid först förhandla frågan med facket.

Om företaget uppställer krav på tester eller av andra skäl inhämtar anställdas testresultat, och dessa exempelvis registreras eller lagras, aktualiseras dataskyddsreglerna.

Testresultat innehåller uppgifter om hälsa

När företag mottar anställdas testresultat är det viktigt att vara uppmärksam på att testresultat avslöjar information om den anställdes hälsa. Därför är det tal om en känslig personuppgift, vilket utlöser högre krav enligt dataskyddsreglerna.

Först och främst får en känslig personuppgift som huvudregel inte behandlas enligt dataskyddsreglerna. Om företaget likväl finner stöd för behandlingen ska det i egenskap av personuppgiftsansvarig, med anledning av de högre kraven, alltid vara särskilt uppmärksamt på:

  • Att det krävs en dubbel rättslig grund under både artikel 6 och 9 i dataskyddsförordningen

  • Att det råder en upplysningsplikt om behandlingsaktiviteten enligt dataskyddsförordningen

  • Att ökade säkerhetsåtgärder måste vidtas vid behandling av känsliga personuppgifter

  • Att det enligt behandlingsprinciperna råder ett krav på dataminimering så långt det är möjligt

  • Att de nya behandlingsaktiviteterna kräver uppdatering av interna register

IUNO menar

Företag ska vara uppmärksamma på att ju känsligare personuppgifter det handlar om, desto strängare krav ställer dataskyddsreglerna på behandlingen. Det betyder också att i händelse av brott mot reglerna kommer Integritetsskyddsmyndigheten betrakta det som en försvårande omständighet om brottet rör information av känslig karaktär.

IUNO rekommenderar att företag som av någon anledning planerar att inhämta samt exempelvis registrera eller lagra anställdas testresultat, först noggrant undersöker och planerar hur de höga kraven enligt dataskyddsreglerna kan uppfyllas.

Anställda hos en testleverantör i Danmark påstås ha blivit instruerade att använda en WhatsApp-grupp för att hantera uppgifter om personer som testat positivt för coronavirus. Danska Datatilsynet har som konsekvens inlett en granskning bland annat för att fastslå vem som var personuppgiftsansvarig, om det skedde en överföring av personuppgifter samt om det hade vidtagits lämpliga säkerhetsåtgärder.

I Sverige finns inga givna situationer där företag kan kräva att anställda testar sig för coronavirus. Möjligheten att ställa ett sådant krav behöver avgöras från fall till fall, genom en avvägning mellan företagets intresse av att testa de anställda, och de anställdas intresse av personlig integritet. Är företaget bundet av kollektivavtal bör det alltid först förhandla frågan med facket.

Om företaget uppställer krav på tester eller av andra skäl inhämtar anställdas testresultat, och dessa exempelvis registreras eller lagras, aktualiseras dataskyddsreglerna.

Testresultat innehåller uppgifter om hälsa

När företag mottar anställdas testresultat är det viktigt att vara uppmärksam på att testresultat avslöjar information om den anställdes hälsa. Därför är det tal om en känslig personuppgift, vilket utlöser högre krav enligt dataskyddsreglerna.

Först och främst får en känslig personuppgift som huvudregel inte behandlas enligt dataskyddsreglerna. Om företaget likväl finner stöd för behandlingen ska det i egenskap av personuppgiftsansvarig, med anledning av de högre kraven, alltid vara särskilt uppmärksamt på:

  • Att det krävs en dubbel rättslig grund under både artikel 6 och 9 i dataskyddsförordningen

  • Att det råder en upplysningsplikt om behandlingsaktiviteten enligt dataskyddsförordningen

  • Att ökade säkerhetsåtgärder måste vidtas vid behandling av känsliga personuppgifter

  • Att det enligt behandlingsprinciperna råder ett krav på dataminimering så långt det är möjligt

  • Att de nya behandlingsaktiviteterna kräver uppdatering av interna register

IUNO menar

Företag ska vara uppmärksamma på att ju känsligare personuppgifter det handlar om, desto strängare krav ställer dataskyddsreglerna på behandlingen. Det betyder också att i händelse av brott mot reglerna kommer Integritetsskyddsmyndigheten betrakta det som en försvårande omständighet om brottet rör information av känslig karaktär.

IUNO rekommenderar att företag som av någon anledning planerar att inhämta samt exempelvis registrera eller lagra anställdas testresultat, först noggrant undersöker och planerar hur de höga kraven enligt dataskyddsreglerna kan uppfyllas.

Registrera dig för vårt nyhetsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Biträdande jurist

Franziska

Brüggemann

Biträdande jurist

Liknande nyheter

logo
HR-juridik

24. mars 2021

Anställds privata köp genom företaget var konsumentköp

logo
Personuppgifter

11. mars 2021

Kamerabevakning på arbetsplatsen

logo
HR-juridik

22. februari 2021

Tillåtet att säga upp via rekommenderat brev när anställd hade symptom på coronavirus

logo
HR-juridik

21. februari 2021

Implementering av permanent distansarbete – Vad behöver företaget göra?

logo
HR-juridik

31. januari 2021

Överenskommelse mellan arbetsmarknadens parter ersätter LAS-utredningen

logo
HR-juridik

6. januari 2021

Kan företag kräva att anställda vaccinerar sig mot coronavirus?

Learning

logo
HR-juridik
2. september 2019

Livestream om omstrukturering i Norden (Engelska)

logo
HR-juridik
2. september 2019

Frukostseminarium om omstrukturering i Norden (Engelska) (Köpenhamn)

logo
HR-juridik
21. november 2018

Medarbetarnas inflytande i Norden (Helsinki) (Engelska)

logo
HR-juridik
20. november 2018

Medarbetarnas inflytande i Norden (Köpenhamn) (Engelska)

logo
HR-juridik
20. november 2018

Medarbetarnas inflytande i Norden (Webcast) (Engelska)

logo
HR-juridik
13. november 2018

Medarbetarnas inflytande i Norden (Oslo) (Engelska)