GDPR og helbredsoplysninger ifm. COVID-19

Har du medarbejdere i coronakarantæne eller med coronasmitte? Det er jo helbredsoplysninger og underlagt GDPR, så hvad må du sige og gøre?

Oplysninger om helbred hører til kategorien af følsomme helbredsoplysninger i EU’s databeskyttelsesforordning, GDPR. Det betyder, at det i udgangspunktet er forbudt at behandle oplysninger om f.eks. medarbejderes helbred, medmindre man har hjemmel til at gøre det, f.eks. hvis medarbejderen har givet sit udtrykkeligt samtykke, eller hvis en anden lov muliggør den type databehandling for at tjene samfundsinteresser eller folkesundheden.

GDPR skal ikke spænde ben for inddæmning af corona

Efter næsten to år med databeskyttelsesforordningen har virksomhederne fået sat deres behandling af personoplysninger i system. Men er corona lige som andre helbredsoplysninger en privatsag, som man ikke registrerer eller taler om? Datatilsynet har modtaget en del spørgsmål om, hvorvidt virksomheder må registrere og videregive oplysninger om coronasmittede medarbejdere. 

Datatilsynet svarer med denne vurdering:

Efter omstændighederne vil det også være berettiget, at arbejdsgiveren registrerer og videregiver oplysninger, der må anses for helbredsoplysninger, f.eks. at en medarbejder er smittet med ny coronavirus. Hensynet her kan fx være, at ledelsen og kollegaer kan træffe de nødvendige forholdsregler.

Det er imidlertid vigtigt at holde sig for øje, at registreringen eller videregivelsen skal være saglig, ligesom de oplysninger, der registreres og videregives, skal begrænses til det nødvendige.”

Det giver god mening, at virksomhederne får disse muligheder, så de kan være med til at begrænse smitte, f.eks. ved at sende kolleger til en coronasyg medarbejder i hjemmekarantæne. Datatilsynet undlader dog ikke at gøre opmærksom på, at man skal minimere de oplysninger, der behandles og videregives, hvilket er i tråd med GDPR’s generelle princip om dataminimering. 

Hastevedtaget lov åbner for mere lempelig behandling af helbredsoplysninger

Siden Datatilsynets udtalelse den 5. marts 2020 har Folketinget som bekendt den 12. marts 2020 hastevedtaget ”lov om ændring af lov om foranstaltninger mod smitsomme og andre overførbare sygdomme”, bl.a. med det formål midlertidigt at give øgede muligheder for at forebygge og inddæmme smitte. 

Denne lov giver Sundheds- og ældreministeren beføjelser til bl.a. at lave nye regler for oplysningsforpligtelser og behandling af personoplysninger. Disse regler vil få forrang for databeskyttelsesforordningen, så længe coronaepidemien raser.

I lovens § 21 a & b er det formuleret således:

Sundheds- og ældreministeren kan fastsætte regler om fysiske og juridiske personers samt myndigheders oplysningsforpligtelser for at hindre udbredelse og smitte af en bestemt sygdom omfattet af lovens § 2.

Sundheds- og ældreministeren kan fastsætte regler om, at personoplysninger kan behandles, hvis behandlingen er nødvendig for at hindre udbredelse og smitte af en bestemt sygdom omfattet af lovens § 2.

Sundheds- og ældreministeren har endnu ikke fastsat regler, og det anbefales derfor, at man holder sig orienteret om nye regler på området ved at følge Datatilsynets hjemmeside, Erhvervsstyrelsens virksomhedsguide eller evt. egen brancheforening. Indtil der eventuelt kommer nye regler, kan man støtte sig til vurderingen fra Datatilsynet.

Læs mere om EU’s databeskyttelsesforordning her

Tilmeld dig til Beierholms nyhedsmail via dette LINK

Hent printvenlig pdf af artiklen her - er på vej

Find en revisor nær dig

Find revisor

in
Share
f
Share
Share