COVID-19 pandemien og de enkelte landes meget forskellige tilgang til at stoppe smittespredning og identificere smittede har ført til et pres på GDPR-reglerne, og en meget forskellig tilgang til reglerne i de europæiske lande.
Et kort overblik viser, at eksempelvis har datatilsynsmyndighederne (DPA) i Danmark og Østrig anlagt den tolkning, at sundhedsdata for inficerede ansatte kan videregives i det omfang, det er nødvendigt for at inddæmme yderligere spredning af COVID-19-virussen og for at beskytte andre mennesker. Videregivelsen skal dog være saglig og proportional, og det skal altid overvejes, om det er nødvendigt at nævne navne.
I Belgien må virksomheder ikke afsløre navne på inficerede ansatte, men kun informere andre ansatte om en infektion, mens der i Spanien synes at være åbnet op for en mulighed for at videregive helbredsmæssige oplysninger om en kollega, men der er ikke nogen helt klar udmelding fra det spanske datatilsyn herom.
Udmeldinger fra Datatilsynet i Danmark:
Hvis det ikke vil være i strid med ansættelsesretlige regler og eventuelle offentligretlige regler om sundhed mv., vurderer Datatilsynet, at en arbejdsgiver inden for rammerne af databeskyttelsesreglerne i vidt omfang kan registrere og videregive oplysninger, der ikke er så konkrete og specifikke, at de kan anses for helbredsoplysninger, når situationen nødvendiggør det. Det kunne f.eks. være:
at en ansat er hjemvendt fra et såkaldt ”risikoområde”
at en ansat er i hjemmekarantæne (uden nærmere at angive årsagen)
at en ansat er syg (uden nærmere at angive årsagen)
Efter omstændighederne vil det også være berettiget, at arbejdsgiveren registrerer og videregiver oplysninger, der må anses for helbredsoplysninger, f.eks. at en medarbejder er smittet med coronavirus. Hensynet her kan fx være, at ledelsen og kollegaer kan træffe de nødvendige forholdsregler. Det er imidlertid vigtigt at holde sig for øje, at registreringen eller videregivelsen skal være saglig, ligesom de oplysninger, der registreres og videregives, skal begrænses til det nødvendige. Arbejdsgiveren bør derfor overveje:
om der er en god grund til at registrere eller videregive de pågældende oplysninger
om det er nødvendigt at specificere oplysningerne, herunder om formålet kan opnås ved at ”fortælle mindre”
om det er nødvendigt at nævne navne – f.eks. navnet på den person der er smittet og/eller i hjemmekarantæne
Udmeldinger fra Datatilsynet i Østrig:
Den østrigske databeskyttelsesmyndighed, der hidtil har været kendt for at anlægge en af de mest strikte fortolkninger af GDPR i Europa, har for nyligt offentliggjort retningslinjer, hvorefter sundhedsdata for inficerede ansatte kan videregives i det omfang, det er nødvendigt for at inddæmme den yderligere spredning af COVID-19-virussen og til at beskytte andre mennesker. Dette inkluderer især indsamling af data fra personer, der er diagnosticeret som positive, eller som mistænkes for at have fået virussen gennem direkte kontakt med en inficeret person.
På baggrund heraf må det antages, at arbejdsgiveren i forbindelse med OVID-19-pandemien i princippet har ret til at videregive sundhedsdata for inficerede eller potentielt inficerede medarbejdere for at inddæmme yderligere spredning af infektion og til at beskytte andre ansatte mod infektion.
Udmeldinger fra Datatilsynet i Belgien:
Belgien, som er et af de lande i Europa, som er forholdsmæssigt hårdest ramt af pandemien har anlagt en mere indskrænket tolkning af retten til videregivelse:
Virksomheder kan ikke udføre systematiske kontroller, såsom kropstemperaturkontroller, over for deres ansatte (fordi det ikke er proportionalt). Det er virksomhedens læges ansvar at tjekke medarbejdere, der blev udsat for Covid-19, eller som har symptomer.
Virksomheder kan ikke tvinge ansatte til at udfylde medicinske spørgeskemaer eller spørgeskemaer relateret til medarbejderens nylige rejser. Den belgiske DPA anbefaler, at virksomheder opfordrer deres ansatte til frivilligt at rapportere enhver rejse til risikoområder eller symptomer på virussen.
Baseret på principperne om fortrolighed og minimering af data, kan virksomheder ikke afsløre navne på inficerede ansatte, men kun informere andre ansatte om en infektion (uden at identificere de inficerede).
Udmeldinger fra Datatilsynet i Spanien:
I Spanien, der på nuværende tidspunkt, er det hårdest ramte land i Europa, har det spanske DPA i en rapport angivet, at databeskyttelseshensyn kan ikke bruges til at hindre eller indske myndighedernes muligheder for at bekæmpe COVID-19. Myndigheder og virksomheder må behandle persondata uden at indhente samtykke i følgende tilfælde:
Behandling er nødvendig for at overholde en retlig forpligtelse (art. 6(1c)). Det følger bl.a. af spansk lovgivning, at arbejdsgivere er forpligtede til at beskytte medarbejdere mod fare ved arbejdet og garantere sikkerhed og helbred i alle arbejdsrelaterede sammenhænge. I disse sammenhænge kan arbejdsgivere ved behandling af persondata henvise til persondataforordningen art. 6(1c). Endvidere har de ansatte en forpligtelse til at oplyse arbejdsgiver, hvis de har været udsat for smitterisiko – dette for at beskytte sig selv og andre ansatte.
Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser (art. 6(1d)). Rapporten understreger, at det ikke nødvendigvis skal være identificerbare personer, det drejer sig om. Det er således muligt at påberåbe sig behandlingshjemmelen i art. 6 (1d) i forsøget på at beskytte alle potentielle smittede personer.
Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse.
Virksomheder og myndigheder sikrer skal dog sikre sig, at behandlingen af helbredsoplysninger kun sker i overensstemmelse med en af undtagelsesbestemmelserne i art. 9(2), herunder nævner rapporten bl.a. følgende:
Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser (art. 9(2b). Arbejdsgivere kan anvende denne regel til at behandle ansattes helbredsrelaterede oplysninger i det omfang, det er nødvendigt for at overholde forpligtelserne til at forhindre fare ved arbejdet.
Behandling er nødvendig med henblik på forebyggende medicin, diagnosefastsættelse mm. (art. 9(2h). Personers helbredsoplysninger kan behandles (uden samtykke), hvis det er nødvendigt for at stille en medicinsk diagnose, for at sørge for behandling, for at vurdere en ansats evne til at arbejde mm.
Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici (art. 9(2i).
Dataansvarlige skal samtidig overholde de spanske sundhedsmyndigheders anbefalinger, herunder hvis det omfatter behandling af helbredsrelaterede oplysninger. Dog skal behandlingen af persondata forsat være i overensstemmelse med databeskyttelsesprincipperne, herunder dataminimering og formålsfortolkning.
Oplysningerne må alene behandles i det omfang, som er strengt nødvendigt til opfyldelse af formålet.
Kommentarer:
Som det fremgår at dette korte overblik, så kan det være svært i disse Covid-19 tider at vægte hensynet til beskyttelse af det enkelte individs helbredsmæssige oplysninger overfor hensynet til beskyttelsen af de personer, der bliver udsat for smitte af individet. Hvis interesserer skal veje mest?
Selvom det kunne være formålstjenligt med ensrettede regler i hele EU vedr. fortolkningen af persondataforordningen for så vidt angår muligheden for videregivelse af oplysninger til kollegaer m.fl., så må det også erkendes, at den forskellige tilgang til afvejningen, afspejler de vanskelige valg, som DPA-myndighederne har måtte foretage i de enkelte lande, herunder afhængigt af, hvor hårdt landet er ramt af pandemien.
Som det ofte er tilfældet, så ser Datatilsynet i Danmark ud til at have valgt den pragmatiske fortolkning af forordningen, som tillader en videregivelse, hvor dette er strengt nødvendigt af hensyn til omgivelsernes ve og vel.
Eventuelle spørgsmål kan rettes til advokat Anne Mette Myrup Opstrup.
Comments