DA
HR-jura Teknologi

Husk databeskyttelse når medarbejdere oplyser testresultater

logo
Juranyt
calendar 10. februar 2021
globus Danmark

Datatilsynet undersøger i øjeblikket en sag om et firma, der angiveligt anvendte en WhatsApp-gruppe til at udveksle testresultater. Med de mange nye regler, der enten giver adgang til at kræve at medarbejdere bliver testet eller kræver at virksomheder får testet tilrejsende medarbejdere, er det vigtigt at virksomheder samtidig er meget opmærksomme på hvordan de følsomme oplysninger bliver behandlet.

Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.

Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.

Testresultater er helbredsoplysninger

Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.

Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:

  • At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen

  • At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten

  • At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger

  • At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt

  • At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser

Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.

IUNO mener

Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.

IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.

Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.

Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.

Testresultater er helbredsoplysninger

Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.

Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:

  • At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen

  • At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten

  • At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger

  • At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt

  • At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser

Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.

IUNO mener

Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.

IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
HR-jura Corporate Teknologi

22. oktober 2021

Ny vejledning om whistleblowerordninger

logo
HR-jura

22. oktober 2021

Et øjebliks tankeløshed på Facebook kunne ikke berettige bortvisning

logo
HR-jura

15. oktober 2021

Hvad betyder øremærket barsel for virksomhedens barselspolitik?

logo
HR-jura

10. oktober 2021

Forskelsbehandling at udelukke medarbejder på barsel fra aktiekøbsprogram

logo
Teknologi

7. oktober 2021

Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud

logo
HR-jura

1. oktober 2021

Bortvist medarbejder mistede ikke retten til godtgørelse for usaglig opsigelse

Holdet

Akina

Ørum Masaki

Juridisk assistent

Anders

Etgen Reitz

Partner

Caroline

Wochner

Kommunikationsassistent

Cecillie

Groth Henriksen

Advokatfuldmægtig

Julie

Meyer

Kommunikationsassistent

Kirsten

Astrup

Advokat

Mathilde

Baudry

Kommunikationsassistent

Nora

Tägtgård Coter

Senior juridisk assistent

Sofie

Aurora Braut Bache

Advokatfuldmægtig

Søren

Hessellund Klausen

Partner