2020-04-01

Hur påverkar covid-19 arbetsgivares hantering av personuppgifter

Att vi behöver vara särskilt försiktiga med uppgifter om individers hälsa och mående är ingenting nytt. Och ja, dessa regler är applicerbara även under en pågående kris.

Dataskydd i kristider

Faktum är att Dataskyddsförordningen är formulerad för att ta den typ av extraordinära händelser som vi just nu går igenom i beaktande, och definierar var/när undantag får göras. Bland annat så specificerar beaktandesats 46 hur myndigheter kan definiera rättslig grund utifrån behovet att använda personuppgifter för att övervaka spridningen av en epidemi. Under extraordinära händelser som denna är det om möjligt ännu viktigare att vi tar hänsyn till anställda och övriga registrerades rätt till integritet, sett både till arten och omfattningen av de personuppgifter som situationen kan kräva att vi hanterar. Det ligger i allas intresse att vi bibehåller och förmedlar en känsla av kontroll i en situation som i övrigt kan upplevas ligga bortom just det.

Alla har förmodligen hört påståenden att vi aldrig tidigare varit bättre rustade att hantera en kris av denna omfattning än nu – ett påstående som florerat i diverse nyhetsrubriker i olika tappning. Detta påstående må vara korrekt, men vi har heller aldrig varit bättre rustade att hantera en kris av denna omfattning på rätt sätt än vad vi är nu.

Vad, av allt vi har, är egentligen personuppgifter?

Datainspektionen lyfter följande som särskilt viktigt att känna till om personuppgiftshantering i relation till coronaviruset:

  • Uppgifter om att någon är smittad av coronavirus räknas som en personuppgift om hälsa.
  • Uppgifter om att en anställd har återvänt från ett så kallat riskområde räknas inte som en personuppgift om hälsa.
  • Uppgifter om att någon är i ”karantän” (med innebörden att hen av försiktighetsskäl inte vistas på arbetsplatsen) anses inte som en personuppgift om hälsa, om den inte innehåller närmare information om orsaken.
  • Uppgifter om att någon är satt i karantän enligt smittskyddslagen är däremot sannolikt en personuppgift om hälsa.
  • En uppgift om hälsa är en känslig personuppgift.

Varför säger man att det är förbjudet?

Huvudregeln är att behandlingen av känsliga personuppgifter är förbjuden såvida den inte är nödvändig. Denna formulering kan vara svår att få ihop, för hur kan något kallas förbjudet om det finns ett undantag där det är nödvändigt? Detta handlar helt enkelt om att förmedla att vi in i det sista ska överväga om vi verkligen behöver den känsliga personuppgiften, dvs, är den nödvändig för att vi ska kunna uppnå ändamålet med behandlingen?

Vad som är nödvändigt för dig som arbetsgivare avgörs till störst del av vilka arbetsrättsliga förpliktelser som gäller. Arbetsmiljöverket kan ge mer information kring vad som gäller ur ett arbetsmiljöperspektiv, läs mer här 

Vad innebär det för mig som arbetsgivare?

Datainspektionen betonar vikten av att de grundläggande principerna som dataskyddsförordningen fastställer följs, och att varje personuppgiftsbehandling kräver en rättslig grund. Den enskilde har också rätt till information om hur dennes personuppgifter behandlas, till exempel i vilket syfte behandlingen sker och hur länge uppgifterna sparas. Denna information behöver finnas lättillgänglig och ska vara skriven på ett klart och tydligt språk.

Du som arbetsgivare är dessutom skyldig att skydda de personuppgifter som behandlas genom att vidta nödvändiga säkerhetsåtgärder så att inte obehöriga kommer åt informationen. Detta är särskilt viktigt när det rör sig om känsliga personuppgifter.

Vad behöver jag som arbetsgivare vara extra noga med?

Du som arbetsgivare står sannolikt inte ensam inför de utmaningar som för tillfället råder. Allt som den nuvarande situationen har fört med sig behöver hanteras, samtidigt som de utmaningar ni säkerligen upplevde innan består. Följande områden kan vara värda att fundera ett extra varv kring, sett till de regulatoriska krav som gäller vid behandling av personuppgifter:

Förändrade arbetssätt: Förändrade arbetssätt kan medföra att vi behöver fler eller nya personuppgifter för andra ändamål än tidigare, för att kunna tillgodose samma verksamhetsbehov. Se över så att dessa är förenliga med det ursprungliga ändamålet.

Distansarbete: Behovet av att arbeta på distans har ökat markant i och med den rådande situationen. I och med detta kan vara nödvändigt att se över hur vi hanterar kommunikation på ett säkert sätt, samt att det på ett säkert sätt går att komma åt nödvändiga system hemifrån.

Molntjänster: Behovet av samverkansytor eller att kunna komma åt information hemifrån ser även det annorlunda ut nu jämfört med för några veckor sedan. Se till så att valet av yta/tjänst samt informationen som hanteras via dessa verktyg motsvarar krav enl. konsekvensbedömningar eller andra, likvärdiga, riskanalyser.

Medvetenhet: Som ovan nämnt har vi på kort tid behövt vänja oss vid både nya arbetssätt och nya verktyg. Glöm inte att påminna de anställda om vilka regler och rutiner som gäller, samt se över så att dessa är uppdaterade och förenliga med de säkerhetskrav som gäller.

Av: Evelina Larsson, Informationssäkerhetskonsult, evelina.larsson@atea.se /sakerhet@atea.se