Påverkas hanteringen av anställdas personuppgifter av Covid-19?

Med anledning av coronavirusets framfart har den Europeiska dataskyddsstyrelsen (EDPB) den 19 mars 2020 antagit ett yttrande som behandlar personuppgiftsbehandling enligt GDPR i en coronavirus-kontext.

Flertalet juridiska frågeställningar har aktualiserats med anledning av utbrottet av sjukdomen Covid -19 (coronaviruset). Spridningsminimering av viruset är särskilt viktigt och samtliga samhällsaktörer påverkas. EDPB är ett EU-organ vars främsta syfte är att se till att GDPR tillämpas enhetligt och att samarbetet mellan EU:s dataskyddsmyndigheter fungerar väl.

  • GDPRs definition av en personuppgift kan sammanfattas som att vara all form av uppgifter som direkt eller indirekt kan leda till att en levande fysisk person identifieras. All form av personuppgiftshantering medför ansvar enligt förordningen.
  • EDPB:s yttrande behandlar viktiga aspekter rörande hanteringen av personuppgifter i mobil platsdata (mobile location data) samt personuppgiftshantering i anställningsförhållandet (employment). Vår sammanfattning av yttrandet behandlar enbart den senare kategorin. 

Trots pandemi krävs compliance (regelefterlevnad) även i anställningsförhållandet

EDPB vill uppmärksamma myndigheter och företag om att de i sitt proaktiva arbete mot coronavirusets spridning, trots det extraordinära läget, inte har några särskilda lättnader i sin hantering av personuppgifter.

En arbetsgivare som överväger en särskild behandling av sina anställdas personuppgifter till följd av coronaviruset bör enligt EDPB som utgångspunkt använda en laglig grund i sin nationella lagstiftning. Framförallt bör stöd grunda sig på de skyldigheter en arbetsgivare har att värna om sina anställdas hälsa.

EDPB påpekar dock att en laglig grund inte undantar arbetsgivarens skyldighet att säkerställa att personuppgiftshanteringen är proportionerlig och att minsta möjliga mängd personuppgifter samlas in. Detta gäller oberoende av om en arbetsgivare exempelvis önskar att dennes anställda genomgår hälsokontroller eller då det visar sig att en anställd smittats av viruset. Enligt EDPB måste i det senare fallet särskilt överväganden göras, i vilken utsträckning och på vilket sätt informationen går ut till andra anställda och övriga berörda parter. Regelefterlevnad underbyggs genom att se till att information om hur och varför personuppgiftshanteringen sker är transparent.

Svenska aktörer har fortsatt mycket att göra i arbetet med att följa GDPR

Att agera i okunskap är aldrig att rekommendera vilket även gäller i GDPR-hänseende. Brott mot GDPR kan nämligen få långtgående konsekvenser för en enskild aktör och såväl myndigheter som företag kan ställas till ansvar. Datainspektionen har i sin nationella integritetsrapport för år 2019 använt sig av en sjugradig skala som graderar hur långt svenska aktörer kommit i sin medvetenhet, kunskap och efterlevnad av GDPR. Uppskattningen är att majoriteten av svenska privata och offentliga verksamheter i dagsläget befinner sig på nivå tre i skalan, vilket innebär att en aktör känner till att regelverket finns och att ett aktivt arbete med att lära sig regelverket pågår.

Sammanfattning

  • Man ska inte agera förhastat i beslut om ytterligare personuppgiftshantering trots de prövande tider som råder till följd av coronavirusets spridning. Även om läget är allvarligt finns enligt EDPB ingen tillämplig lättnadsregel att tillgå i GDPR.
  • Den personuppgiftsansvariga, som exempelvis arbetsgivare, måste fortsatt överväga och motivera sin personuppgiftshantering. Framförallt måste den lagliga grunden och ändamålet med hanteringen vara tydligt angivna.

David Klose
Simon Wilkens