DA
HR-jura Teknologi

Husk databeskyttelse når medarbejdere oplyser testresultater

logo
Juranyt
calendar 10. februar 2021
globus Danmark

Datatilsynet undersøger i øjeblikket en sag om et firma, der angiveligt anvendte en WhatsApp-gruppe til at udveksle testresultater. Med de mange nye regler, der enten giver adgang til at kræve at medarbejdere bliver testet eller kræver at virksomheder får testet tilrejsende medarbejdere, er det vigtigt at virksomheder samtidig er meget opmærksomme på hvordan de følsomme oplysninger bliver behandlet.

Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.

Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.

Testresultater er helbredsoplysninger

Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.

Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:

  • At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen

  • At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten

  • At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger

  • At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt

  • At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser

Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.

IUNO mener

Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.

IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.

Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.

Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.

Testresultater er helbredsoplysninger

Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.

Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:

  • At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen

  • At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten

  • At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger

  • At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt

  • At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser

Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.

IUNO mener

Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.

IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende

logo
HR-jura

27. juni 2021

Virksomhed kunne frasige sig overenskomst efter fusion

logo
HR-jura Corporate Teknologi

25. juni 2021

Lov om beskyttelse af whistleblowere vedtaget

logo
HR-jura

20. juni 2021

Usagligt at varsle medarbejdere ned i løn grundet coronavirus

logo
HR-jura Corporate Teknologi

17. juni 2021

Hvor længe kan virksomheder opbevare oplysninger om jobansøgere?

logo
HR-jura

11. juni 2021

Vikar kunne rette sit krav mod kunden

logo
HR-jura

4. juni 2021

Medarbejder med 30 års ansættelse kunne opsiges efter 120-dages reglen

Holdet

Akina

Ørum Masaki

Juridisk assistent

Anders

Etgen Reitz

Partner

Caroline

Wochner

Kommunikationsassistent

Cecillie

Groth Henriksen

Advokatfuldmægtig

Franziska

Brüggemann

Advokatfuldmægtig

Kirsten

Astrup

Advokatfuldmægtig

Nora

Tägtgård Coter

Senior juridisk assistent

Sofie

Aurora Braut Bache

Advokatfuldmægtig

Søren

Hessellund Klausen

Partner