Personuppgifter om hälsa är känsliga personuppgifter enligt GDPR. Företag får enligt huvudregeln inte behandla känsliga personuppgifter. Däremot finns det undantag. Många har frågor om behandlingen av personuppgifter på grund av den rådande situationen och pandemin. Här är en sammanfattning av Integritetsskyddsmyndighetens information och exempel på vad som utgör personuppgifter om hälsa.
Personuppgifter om hälsa är känsliga personuppgifter enligt GDPR
Personuppgifter om hälsa är klassade som känsliga personuppgifter enligt GDPR och det är därför viktigt att behandla uppgifterna korrekt. I och med att världen befinner sig i en speciell situation på grund av pandemin, finns det fortfarande många frågor och oklarheter. Integritetsskyddsmyndigheten uppdaterar regelbundet aktuella nyheter, riktlinjer och svarar på många frågor kring detta.
Kortfattat är huvudregeln att en arbetsgivares behandling av känsliga personuppgifter såsom den anställdes hälsa, religiösa övertygelse eller politiska åsikter, är förbjuden. Det finns däremot undantag, exempelvis om behandlingen är nödvändig för att arbetsgivaren ska kunna fullgöra sina skyldigheter enligt arbetsrätten.
Information om att en anställd har:
- Varit eller är smittad av Covid-19, utgör en personuppgift om hälsa.
- Återvänt från ett riskområde, är inte en personuppgift om hälsa.
- Fått sitta i karantän av försiktighetsskäl och som inte är på arbetsplatsen, är inte personuppgift om hälsa. Däremot kan det vara det, om informationen innehåller fler detaljer om orsaken.
- Suttit i karantän på grund av smittskyddslagen utgör förmodligen en personuppgift om hälsa. Kom ihåg att även andra personuppgifter som inte är om hälsa, fortfarande måste bli behandlade korrekt. Behandlingen kräver alltid rättslig grund. Dessutom måste den personuppgiftsansvarige följa dataskyddsprinciperna.
Arbetsgivarens ansvar
Det är viktigt att värna om integriteten hos de anställda. Arbetsgivare får inte vidta åtgärder som går så långt att uppgifterna som man tar sig ann, är sådana som myndigheter ska hantera, inte företag.
Om en anställd blir sjuk på grund av covid-19, måste denne meddela arbetsgivaren vid sjukskrivning som vanligt och arbetsgivaren måste behandla den informationen enligt GDPR. Detta innebär att arbetsgivaren inte ska röja uppgifterna till någon annan om det inte är nödvändigt.
Att arbetsgivaren känner till informationen om den smittade personen okej, det viktiga är att behandla uppgifterna korrekt och säkert i enlighet med GDPR. Exempelvis bör en arbetsgivare inte skicka okrypterade mail som innehåller personuppgifter om en anställd persons hälsa till någon annan delägare eller liknande. Eftersom okrypterad mail inte anses hålla en lämplig säkerhetsnivå med beaktande av typen av personuppgift som avses i detta exempel. Om uppgiften behöver bli behandlad, tex. antecknad, registrerad eller liknande, ska det ske enligt reglerna i GDPR.
Arbetsgivare bör dokumentera åtgärder som skett och de bedömingar som denne har gjort. Säkerhet är viktigt vid lagring av personuppgifter, speciellt när det gäller känsliga uppgifter.
Arbetsgivare måste vidta säkerhetsåtgärder som är nödvändiga för att skydda personuppgifterna för att obehöriga inte ska kunna komma åt informationen.
Anmäla incidenter
Vid upptäckt dataintrång eller om uppgifterna på något annat vis har kommit till obehöriga, ska det bli anmält till Integritetsskyddsmyndigheten inom 72 timmar och i vissa fall även polisen.
Konsekvenser vid brott mot GDPR
Konsekvenserna för företag som inte följer GDPR varierar från fall till fall. För allvarliga brott, kan böter uppgå till 20 miljoner euro eller 4 procent av årsomsättningen och för mindre allvarliga brott kan det uppgå till 10 miljoner euro eller 2 procent av omsättningen.
Europarådet
Europarådet 47 länder ingår i Europarådet, en europeisk samarbetsorganisation. Deras uppgift är att främsta mänskliga rättigheter och demokrati, och Sverige är ett av de 47 länderna som ingår i Europarådet.
Just nu arbetar de med att hjälpa stater genom att ge verktyg som ska hjälpa de att respektera mänskliga rättigheter, rättsstatsprinciperna samt demokrati, trots omständigheterna kring och på grund av pandemin.
Hälso- och sjukvårdsnämnden i Örebro län behandlade känsliga personuppgifter i strid med GDPR och fick därför betala en sanktionsavgift på 120 000 kr.
