DA
HR-jura Persondata

Husk databeskyttelse når medarbejdere oplyser testresultater

logo
Juranyt
calendar 10. februar 2021
globus Danmark

Datatilsynet undersøger i øjeblikket en sag om et firma, der angiveligt anvendte en WhatsApp-gruppe til at udveksle testresultater. Med de mange nye regler, der enten giver adgang til at kræve at medarbejdere bliver testet eller kræver at virksomheder får testet tilrejsende medarbejdere, er det vigtigt at virksomheder samtidig er meget opmærksomme på hvordan de følsomme oplysninger bliver behandlet.

Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.

Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.

Testresultater er helbredsoplysninger

Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.

Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:

  • At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen

  • At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten

  • At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger

  • At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt

  • At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser

Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.

IUNO mener

Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.

IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.

Medarbejdere hos en testudbyder var angiveligt blevet instrueret i at bruge en WhatsApp-gruppe til at håndtere oplysninger om personer, der var blevet testet positive. Datatilsynet har som konsekvens iværksat en undersøgelse for blandt andet at fastslå hvem der var dataansvarlig, om der skete videregivelse af oplysninger samt om der forelå passende sikkerhedsforanstaltninger.

Virksomheder har siden den sidste del af 2020 haft adgang til kræve medarbejdere testet for coronavirus og modtage testresultatet, når en række betingelser er opfyldt. Samtidig har nye lovkrav i begyndelsen af 2021 også introduceret en forpligtelse for mange virksomheder til at sikre at tilrejsende medarbejdere bliver testet for coronavirus. Vi har beskrevet betingelserne i flere detaljer her og her.

Testresultater er helbredsoplysninger

Når virksomheder i den forbindelse modtager medarbejdernes testresultater, er det imidlertid afgørende at være opmærksom på, at testresultater afslører oplysninger om medarbejderens helbred. Derfor er der tale om en følsom personoplysning, og det udløser højere krav under databeskyttelsesreglerne.

Udover de forskellige krav der gælder, afhængig af hvilke af de to regelsæt der er tale om, skal virksomheder som dataansvarlig derfor i alle tilfælde navnlig også være opmærksomme på:

  • At der er krav til en såkaldt ”dobbelthjemmel” under både artikel 6 og 9 i forordningen

  • At der gælder en separat oplysningspligt under forordningen om behandlingsaktiviteten

  • At der skal iværksættes øgede sikkerhedsforanstaltninger ved behandling af følsomme oplysninger

  • At der medfør behandlingsprincipperne gælder et krav om dataminimering, så vidt muligt

  • At de nye behandlingsaktiviteter vil kræve opdateringer af interne fortegnelser

Vi har tidligere skrevet om indholdet i virksomheders oplysningspligt, her og om krav til kryptering, her.

IUNO mener

Virksomheder skal være opmærksomme på, at jo mere følsom en oplysning der er tale om, jo strengere krav stiller databeskyttelsesreglerne til behandlingsaktiviteten. Det betyder også, at det er en skærpende omstændighed i Datatilsynets vurdering i tilfælde af overtrædelse af reglerne, at der er tale om en oplysning af følsom karakter.

IUNO anbefaler også, at virksomheder der anvender et eller begge regelsæt nøje undersøger og planlægger, hvordan de forskellige dokumentationskrav kan opfyldes bedst sideløbende med de høje krav under databeskyttelsesreglerne.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
HR-jura

28. februar 2021

Ansættelse af udlejede medarbejdere var ikke i strid med god markedsføringsskik

logo
HR-jura Corporate

21. februar 2021

Ny ordning for medarbejderaktier giver bedre vilkår for start-ups

logo
HR-jura

14. februar 2021

Regler for hjemmearbejdspladsen

logo
HR-jura Persondata

14. februar 2021

Sådan forebygges coronasmitte lovligt på arbejdspladsen

logo
Persondata

12. februar 2021

100.000 kr. for overtrædelse af databeskyttelsesreglerne

logo
HR-jura

10. februar 2021

Ny bekendtgørelse fritager tilrejsende medarbejdere fra isolationskrav i arbejdstiden

Learning

logo
HR-jura
2. september 2019

Morgenmøde om omstruktureringer i de nordiske lande (Engelsk)

logo
HR-jura
2. september 2019

Livestream om omstruktureringer i de nordiske lande (Engelsk)

logo
HR-jura
30. januar 2019

Morgenmøde om den nye ferielov 2019

logo
HR-jura
30. januar 2019

Morgenmøde om den nye ferielov 2019 (webinar)

logo
HR-jura
3. december 2018

International HR-jura dag 2018

logo
HR-jura
3. december 2018

Seminar om udvikling og ansættelsesformer (engelsk)

// COOKIE INFORMATION POPUP SCRIPT