COVID-19 og GDPR: Hva må du forholde deg til?

20/03/20

De mest sentrale GDPR-reglene som virksomheten bør være klar over nå

Det florerer med nyhetsoppslag og informasjonssider om hva virksomheter skal tenke på og passe på i disse dager, og det er lett å gå seg vill. Datatilsynet har sagt at de kommer til å være fleksible i en tid fremover, men dette betyr ikke at de nødvendigvis vil se gjennom fingrene dersom virksomheter bryter grunnleggende regler i personvernregelverket. 

Vi har trukket frem de mest sentrale reglene som virksomheten bør være klar over på nåværende tidspunkt. Her har vi også samlet råd og informasjon fra det norske og det danske datatilsynet samt det europeiske personvernrådet. 

Arbeidsgivere 

En viktig oppgavene for arbeidsgivere i dag er å holde kontroll på hvem som er smittet og hvem som står i faresonen for å bli smittet. Dette for å forebygge smittespredning. 

Behandling bør imidlertid skje i samråd med den registrerte selv, og så langt som mulig skje uten at det fremgår helseopplysninger om vedkommende.

Hvilke opplysninger kan arbeidsgiver behandle?

Generelt vil nok arbeidsgiver ha en vid adgang til å behandle opplysninger om sine ansatte, når det kan forsvares ut fra hensynet til å hindre smittespredning i egen virksomhet. Det vises her til at arbeidsmiljøloven§ 4-1 pålegger arbeidsgiver å sikre et forsvarlig arbeidsmiljø. Det rettslige grunnlaget for behandlingen vil være personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav b og i. 

Det vil typisk være anledning til å behandle følgende opplysninger om de ansatte for å hindre smittespredning:

  • At vedkommende er hjemvendt fra et såkalt “risikoområde”

  • At vedkommende er i hjemmekarantene (uten å nærmere angi årsaken)

  • At vedkommende er syk (uten nærmere angivelse av årsaken)

  • Vedkommende er smittet med koronaviruset (særlige kategorier av personopplysninger jf. artikkel 9)

I tillegg vil nok virksomheter kunne registrere opplysninger om hvilke andre ansatte den smittede har vært i kontakt med siden hjemreise fra utlandet eller siden sannsynlig smittetidspunkt. 

Hvem kan arbeidsgiver dele opplysningene med?

Spørsmålet om hvem arbeidsgiver kan dele personopplysningene med, og når, beror blant annet på om vedkommende har fått påvist koronaviruset:

1. Vedkommende har fått påvist koronaviruset

Dersom virksomheter har fått kjennskap til at en ansatt har fått påvist smitte, vil arbeidsgiver kunne dele denne informasjonen med øvrige ansatte dersom dette er nødvendig av smittevernhensyn. Arbeidsgiver må her gjøre en konkret vurdering av behovet for å navngi den ansatte sett opp mot vedkommendes krav på integritet. I mindre virksomheter kan dette typisk være nødvendig hvor det samhandles tett i det daglige. I større selskaper vil man eksempelvis  kunne gi konkret informasjon til avdelingen eller kontoret hvor den smittede arbeider i det daglige, og mer generell informasjon til andre avdelinger og/eller kontorer.

2. Den ansatte har ikke fått påvist koronaviruset 

Dersom arbeidsgiver får opplysninger om at en ansatt har vært i utlandet, vært i kontakt med noen som er smittet eller på andre måter kan være utsatt for smitte, er dette opplysninger som arbeidsgiver som regel kan dele med ansatte som vedkommende kan ha vært i kontakt med. Dette for å hindre videre en mulig smittespredning på arbeidsplassen. Også her må arbeidsgiver gjøre en konkret vurdering av om det er nødvendig å navngi vedkommende. 

3. Deling med utenforstående

Datatilsynet har i tillegg gjort en vurdering av deling med utenforstående, hvor de konkluderer med at arbeidsgiver ikke skal videreformidle informasjon om at enkeltansatte er smittet og/eller i karantene til utenforstående. Dersom utenforstående ønsker å få kontakt med vedkommende kan arbeidsgiver informere om at han eller hun er utilgjengelig, uten å begrunne dette nærmere. 

Hvis store deler av virksomheten er i karantene eller utilgjengelige på andre måter, bør ledelsen ifølge tilsynet utarbeide en plan for å informere kunder og publikum på en ryddig måte. 

Informasjon til de ansatte 

Arbeidsgivere skal gi informasjon til de ansatte om opplysninger de samler inn om dem. For opplysninger som registreres i forbindelse med koronaviruset, bør arbeidsgiver typisk informere om

  • Hvilke opplysninger man samler inn

  • Formålet med innsamlingen 

  • Hvem som har tilgang på opplysningene 

  • Hvem man eventuelt deler personopplysningene med 

I tillegg, bør arbeidsgiver sørge for at de ansatte har en e-postadresse eller et telefonnummer de kan bruke dersom de har spørsmål om behandling av personopplysninger knyttet til koronaviruset.

Skoler og barnehager 

Norske myndigheter har bedt alle skoler og barnehager om å stenge på ubestemt tid. Skolene har som følge av dette begynt med undervisning på digitale plattformer, som innebærer en annen type behandling av personopplysninger enn det skolene er vant med. 

CEVID-19 og GDPR

Skoler som nå tar i bruk digitale løsninger og online undervisningsmetoder i langt større skala enn før, må sørge for at lærere, elever og foreldre får god informasjon om hvordan slike verktøy skal brukes.

Hvilke opplysninger kan skoler og barnehager be om?

Skoler og barnehager kan be om samme type informasjon som det vi har listet opp under virksomheter over.

I tillegg til denne informasjonen, vil skoler trenge opplysninger som er nødvendige for at skolen skal kunne gjennomføre online undervisning. Hvilke opplysninger de ulike skolene trenger varierer med hvilken type teknisk løsning den enkelte skolen bruker, men på generelt nivå skal ikke skolen be om andre opplysninger enn de som er helt nødvendige for at løsningen for online undervisning skal fungere til sitt formål. 

Hvem kan skolene og barnehagene dele opplysninger med?

Dersom en skole eller barnehage har fått påvist et smittetilfelle blant de ansatte eller blant barna, skal smittetilfellet straks videreformidles til kommunens helsetjeneste. Kommunehelsetjenesten har ansvaret for helsetjenester i skolen jf. helse- og omsorgstjenesteloven § 3-2, og vil følge opp saken videre for forsvarlig helsehjelp og smitteoppsporing. 

Videre, skal samtlige i institusjonen - ansatte, elever og foreldre - få informasjon om at noen på skolen eller i barnehagen har fått påvist smitte. Det skal ikke være nødvendig å gi mer informasjon enn dette, som betyr at man bør unngå å avgrense til klasser og klassetrinn.

Informasjon til lærere, elever og foreldre 

Det er viktig at skoler og barnehager gir god informasjon til lærere, elever og foreldre knyttet til den nye hverdagen. Smittetilfeller skal videreformidles i tråd med det vi har skrevet i avsnittet over. 

Skoler som nå tar i bruk digitale løsninger og online undervisningsmetoder i langt større skala enn før, må sørge for at lærere, elever og foreldre får god informasjon om hvordan slike verktøy skal brukes. Særlig er det viktig å gjøre oppmerksom på at man i minst mulig grad skal dele helseopplysninger og andre former for særlige kategorier av personopplysninger. Dette gjelder også opplysninger som kommer frem via video. 

Ikke glem informasjonssikkerheten

I disse dager blir digitale løsninger tatt i bruk som aldri før. Mange virksomheter har allerede på plass gode digitale løsninger for å sikre kommunikasjon blant de ansatte og mellom virksomheten og kunder, slik som Google Hangouts og Microsoft Teams. Andre er mindre vant med en såpass omfattende bruk av digitale hjelpemidler, slik som skoler som nå må tilrettelegge for hjemmeundervisning. 

Det er viktig å huske på at digital behandling av personopplysninger setter personopplysninger i en viss fare. Her er særlig risikoen for uautorisert tilgang, hackerangrep og feilsending av opplysninger fremtredende. 

Ta i betraktning følgende råd:

  • Offentlige institusjoner bør ta i bruk personvernombudet og sikkerhetsansvarlig i kommunen aktivt. Private virksomheter kan tilsvarende bruke tekniske avdelinger og fagpersoner aktivt. De vurderinger som gjøres mht. behandling av personopplysninger bør dokumenteres, slik at man senere kan vise til at man har gjort tiltak for å minske risikoen for sikkerhetsbrudd. 

  • Ikke ta i bruk nye løsninger uten å høre med ledelsen eller de ansvarlige i institusjonen, eventuelt kommunens personvernombud og/eller sikkerhetsansvarlig 

  • Ikke del flere personopplysninger enn det som er nødvendig 

  • Vær koblet til sikre nettverk gjennom for eksempel VPN-tilgang 

 

Leder for cybersikkerhet i PwC, Eldar Lorentzen Lillevik, har skrevet et innlegg om det økte trusselbildet som følger koronakrisen. Denne anbefales! 

Kontakt oss

Christine  Ask Ottesen

Christine Ask Ottesen

Direktør Personvern, PwC Norway

Tlf: 928 09 229