Hoppa till innehåll på sidan

Coronaviruset och personuppgifter

Publicerad: 13 mars 2020
Integritetsskyddsmyndigheten har fått frågor om coronaviruset och personuppgifter – särskilt med koppling till arbetslivet. Dataskyddsförordningen hindrar inte arbetsgivare från att vidta nödvändiga åtgärder för att minska smittspridningen. Men det är viktigt att samtidigt värna anställdas integritet och skydd för personuppgifter. Därför har vi tagit fram denna vägledning med svar på vanliga frågor.

Integritetsskyddsmyndigheten är medveten om att det med anledning av coronaviruset uppkommer nya frågor om vilka uppgifter som till exempel en arbetsgivare får registrera och dela med sig av inom och utanför organisationen. Situationen kan kräva att information snabbt måste samlas in för att vidta nödvändiga åtgärder. Samtidigt är uppgifter om hälsa känsliga personuppgifter. Det ställer höga krav på hur informationen hanteras. En arbetsgivare bör undvika att systematiskt samla in uppgifter om eventuella sjukdomstillstånd från anställda, eller deras anhöriga. De åtgärder som en arbetsgivare vidtar får heller aldrig gå så långt att arbetsgivaren i praktiken tar sig an uppgifter som myndigheter ska hantera.

När det gäller coronaviruset och personuppgifter är det viktigt att känna till följande:

  • Uppgifter om att någon är smittad av coronavirus räknas som en personuppgift om hälsa.
  • Uppgifter om att en anställd har återvänt från ett så kallat riskområde anses inte som en personuppgift om hälsa.
  • Uppgifter om att någon är i ”karantän” (med innebörden att hen av försiktighetsskäl inte vistas på arbetsplatsen) anses inte som en personuppgift om hälsa, om den inte innehåller närmare information om orsaken.
  • Uppgifter om att någon är satt i karantän enligt smittskyddslagen är däremot sannolikt en personuppgift om hälsa.
  • En uppgift om hälsa är en känslig personuppgift.

Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men arbetsgivare får behandla känsliga personuppgifter när det är nödvändigt för att kunna fullgöra sina skyldigheter inom arbetsrätten. På Arbetsmiljöverkets webbplats kan du läsa information om coronaviruset ur ett arbetsmiljöperspektiv.

Även uppgifter om enskilda som inte är hälsouppgifter är fortfarande personuppgifter. Det ställer vissa krav på behandlingen av uppgiften enligt dataskyddsförordningen. Bland annat måste de grundläggande principerna följas och behandlingen kräver en rättslig grund.

Integritetsskyddsmyndigheten vill betona att dataskyddsförordningen inte hindrar de nödvändiga åtgärder som behöver vidtas för att minska smittspridningen av coronaviruset. Det är däremot viktigt att enskildas rätt till privatliv och skyddet för personuppgifter värnas, även under dessa speciella omständigheter. Det innebär bland annat att en arbetsgivare bara får registrera de personuppgifter som är nödvändiga för det aktuella syftet och sedan ska begränsa åtkomsten till dem som behöver uppgifterna i arbetet. Enbart den information som den aktuella mottagaren behöver ska lämnas ut.

Den enskilda ska få information om hur hans eller hennes personuppgifter behandlas, till exempel i vilket syfte. Informationen ska vara lättillgänglig med ett klart och tydligt språk. En arbetsgivare måste alltid skydda de personuppgifter som behandlas genom att vidta nödvändiga säkerhetsåtgärder så att inte obehöriga kommer åt informationen. Det är särskilt viktigt när det rör sig om känsliga personuppgifter. Arbetsgivaren bör också dokumentera vilka åtgärder som har vidtagits och vilka bedömningar som har gjorts. 

Socialtjänst

Integritetsskyddsmyndigheten har besvarat en förfrågan från Sveriges Kommuner och Regioner (SKR) beträffande socialtjänstens möjligheter till användning av videotjänster. Integritetsskyddsmyndighetens svar ger vägledning om bland annat ansvarsskyldigheten och vad som kännetecknar socialtjänsten när det gäller art, omfattning, sammanhang och ändamål som grund för att bestämma säkerhetsåtgärder.

Läs Integritetsskyddsmyndighetens svar till Sveriges Kommuner och Regioner (pdf, 120 kB)

Vägledning från EU

EU-kommissionen och Europeiska dataskyddsstyrelsen arbetar löpande med att ge vägledning kring behandlingen av personuppgifter med anledning av corona.

Vägledning från Europarådet  

Europarådet är en mellanstatlig europeisk samarbetsorganisation med 47 medlemsstater, däribland Sverige, som har till uppgift att främja demokrati och mänskliga rättigheter.

Europarådet arbetar för närvarande, med anledning av coronakrisen, med att ge europeiska stater verktyg som ska hjälpa dem att respektera demokrati, mänskliga rättigheter och rättsstatsprincipen trots rådande omständigheter.

På dataskyddsområdet har Europarådet antagit uttalanden om rätten till personlig integritet med anledning av covid-19 och användandet av digitala smittspårningsapplikationer som används för att stävja utbrottet av covid-19. Uttalandena är publicerade på engelska på Europarådets webbplats.

Frågor och svar

Vad är personuppgifter om hälsa?

Personuppgifter om hälsa är alla uppgifter som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag från förbudet. Här kan du läsa mer om känsliga personuppgifter.

Vilka rättigheter har den enskilda?

Dataskyddsförordningen ger vissa rättigheter till dem vars personuppgifter behandlas (de registrerade), bland annat rätt till information och rätt till registerutdrag. Rättigheterna omfattar även hälsouppgifter. Här kan du läsa mer om de registrerades rättigheter.

Får jag som arbetsgivare informera anställda om att en kollega kan ha smittats av coronaviruset?

Arbetsgivaren ska vidta alla åtgärder som behövs för att förbygga att arbetstagare utsätts för ohälsa. I normalfallet borde det gå att informera de anställda som behöver informationen utan att nämna namnet på kollegan som eventuellt smittats. Endast i undantagsfall bör det vara nödvändigt att tala om vem den drabbade är. Om arbetsgivaren bedömer att det, på grund av exempelvis skyldigheter inom arbetsrätten, är absolut nödvändigt att avslöja vem som smittats ska den anställda i fråga informeras om detta i förväg. Arbetsgivaren bör också vidta åtgärder för att skydda den anställdas integritet. Informationen som lämnas ska alltid vara saklig och korrekt och får inte vara kränkande för den anställda som berörs. Som alltid gäller att du inte ska registrera eller lämna ut fler uppgifter än vad som är nödvändigt för att uppnå syftet. Utöver dataskyddsreglerna finns det regler om tystnadsplikt och sekretess som kan påverka vilka uppgifter om anställdas sjukdom som en arbetsgivare får lämna ut.

Får vi sprida informationen om att en anställd arbetar hemma efter att hen varit utomlands/i ett riskområde?

Det är tillåtet att informera internt om att en anställd arbetar hemifrån och om hur hen kan nås. Integritetsskyddsmyndigheten rekommenderar dock att ni som arbetsgivare inte uppger orsaken. När det gäller att informera personer utanför organisationen, bör arbetsgivaren noga överväga vilka som behöver få informationen och inte heller då ange orsaken.

Om en anställd arbetar hemifrån bör arbetsgivaren i samråd med den anställda bestämma hur kontaktuppgifter kan förmedlas till utomstående på ett integritetsvänligt sätt.

Vad ska vi svara utomstående som söker en anställd som inte är i tjänst på grund av coronaviruset?

Meddelandet till utomstående som vill kontakta anställda som är smittade och i karantän bör i princip vara att den anställda i fråga är frånvarande eller inte tillgänglig.  

Får vi samla in kontaktuppgifter till närmast anhöriga från våra anställda?

Både arbetsgivare och anställda har ofta ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig till den anställda vid olyckshändelse eller sjukdom under arbetstid. Integritetsskyddsmyndigheten anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning eller, om arbetsgivaren är en myndighet, ett allmänt intresse.

Hur länge får vi spara uppgifter?

Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. När ändamålen med en viss behandling är uppfyllda är huvudregeln att uppgifterna i fråga ska avidentifieras eller utplånas.

Får vi mäta arbetstagares kroppstemperatur?  

Att mäta enskildas kroppstemperatur är ett betydande integritetsintrång. Att bedöma arbetsgivares rätt att göra kontroller och arbetstagares skyldighet att genomgå kontrollerna styrs dock i huvudsak av arbetsrättsliga regler och omfattas inte av Integritetsskyddsmyndighetens befogenheter som tillsynsmyndighet. Om en arbetsgivare väljer att registrera personuppgifter från kontrollen, till exempel i ett it-baserat besökssystem, omfattas däremot den behandlingen av dataskyddsförordningen och därmed Integritetsskyddsmyndighetens befogenheter som tillsynsmyndighet. En sådan registrering av personuppgifter är normalt inte tillåten.

Får vi som arbetsgivare ensidigt bestämma om anställda måste arbeta hemifrån eller på kontoret med anledning av coronaviruset?

Frågor om ifall en arbetsgivare får kräva eller förbjuda att anställda arbetar hemifrån är inte en dataskyddsfråga. Den faller därmed utanför Integritetsskyddsmyndighetens verksamhetsområde.

Är det möjligt att ha ett livevideomöte med en patient?

Livevideomöten kan genomföras om vårdgivare och personuppgiftsbiträden vidtar säkerhetsåtgärder.

Det finns regler om säkerhetsåtgärder vid behandling av personuppgifter om patienter. Reglerna finns i GDPR, patientdatalagen och Socialstyrelsens föreskrifter HSLF-FS 2016:40. Reglerna ålägger personuppgiftsansvariga och personuppgiftsbiträden att vidta ett antal säkerhetsåtgärder när personuppgifter behandlas via t.ex. öppet nät. Det handlar framför allt om att skydda patientuppgifter från obehörigt röjande och obehörig åtkomst genom t.ex. kryptering och säker inloggning.

Innan en personuppgiftsbehandling påbörjas är det alltid viktigt att ta fram en process och analysera dels hur patientuppgifterna överförs mellan olika aktörer, dels hur uppgifterna behandlas i och överförs mellan olika it-system. En sådan analys är relevant för att kunna bedöma om säkerhetskraven kan uppfyllas med livevideosystemet. Det är vårdgivaren och vårdgivarens personuppgiftsbiträde som behöver göra flödes- och säkerhetsanalyserna och dokumentera bedömningar och beslut. Notera att om servrar som hanterar patientuppgifter finns i ett land utanför EU/EES-området behöver GDPR:s bestämmelser om tredjelandsöverföringar följas.

Vad ska skolan tänka på?

Får skolan livesända skolavslutningar?

Vad gäller för skolavslutningar och studentutspring? Vad ska den personuppgiftsansvariga tänka på om avslutningen livesänds?

Ja, det kan i den nu rådande Covid 19-situationen vara förenligt med dataskyddsförordningen (GDPR). Det krävs då att man tänkt igenom kraven på integritetsskydd och anpassat filmningen bland annat till kraven på uppgiftsminimering. Andra krav är att man undviker behandling av känsliga uppgifter, tänker på det särskilda skyddsbehov som gäller för barn och proportionaliteten och vidtar tillräckliga säkerhetsåtgärder. Läs mer om vad som gäller enligt GDPR.

Får skolan livesända luciatåg?

Ja, i den nu rådande Covid 19-situationen kan det vara förenligt med dataskyddsförordningen (GDPR). Utgångspunkten är att anordnande av luciatåg utgör en del av utbildningsverksamheten i skolan. Den personuppgiftsansvariga kan därför motivera behandlingen med stöd av den rättsliga grunden uppgift av allmänt intresse.

Det krävs att den personuppgiftsansvariga tänkt igenom kraven på integritetsskydd och anpassat livesändningen med tanke på uppgiftsminimering. Den personuppgiftsansvariga ska bland annat tänka igenom vilka som ska få ta del av livesändningen. Dessutom måste åtkomst till livesändningen uppfylla kraven på lämplig säkerhet enligt dataskyddsförordningen.

Behandling av känsliga personuppgifter (som uppgifter om hälsa eller religiös övertygelse) kan undvikas i själva livesändningen genom att skolan vidtar faktiska åtgärder på plats, till exempel tydliggör för barnen och deras vårdnadshavare var livesändningen av luciatåget kommer att ske eller om det kommer finnas möjlighet att vara med i luciatåget utan att synas i själva livesändningen.

Vid behandling av känsliga personuppgifter (som uppgifter om hälsa eller religiös övertygelse) ställs högre krav på den personuppgiftsansvarigas val av rättslig grund. Det måste finnas ett tillämpligt undantag i dataskyddsförordningen för att behandling av sådana uppgifter ska vara laglig.
Tänk även på att personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen. Barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har.

Läs mer om vad som gäller enligt dataskyddsförordningen
Läs mer om informationssäkerhet

Får vi som skola lägga ut bilder eller filmer från ett luciatåg som vi ordnat på till exempel Facebook?

Som utgångspunkt är den som publicerar något i sociala medier att betrakta som personuppgiftsansvarig för den personuppgiftsbehandling som publiceringen innebär. Företaget (till exempel Facebook) som tillhandahåller plattformen kan också vara personuppgiftsansvarig om det kan påverka eller bestämma över inläggen.

Det är den personuppgiftsansvariga som ska följa de grundläggande principerna och ha rättsligt stöd för behandlingen i dataskyddsförordningen. Den personuppgiftsansvariga måste också vidta tekniska och organisatoriska säkerhetsåtgärder vid publicering av bilder eller filmer av barn på sociala medier.
Det är viktigt att skolan tänker på att barn, deras vårdnadshavare eller anhöriga kan ha skyddad identitet. Då ska bilderna eller filmerna inte spridas. Det är därför viktigt att skolan har rutiner och riktlinjer kring till exempel behandling av barns personuppgifter i sociala medier när det gäller spridning av bilder och/eller filmer av barn.

Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen. Barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har. 

Privatpersoners fotografering och filmande i skolan

Får jag fotografera eller filma ett luciatåg i skolan?

Ja, om du tar bilder och filmar till ditt privata album eller sparar dem på din egen dator eller mobiltelefon så går det bra. Då gäller inte reglerna i dataskyddsförordningen.

Får jag lägga ut bilder eller filmer från luciatåget på till exempel Facebook?

Om du ska sprida bilderna till en större krets, exempelvis genom publicering på nätet, så måste du följa dataskyddsförordningen. Då behöver du göra en avvägning mellan ditt intresse av att sprida bilderna och av barnens intresse av att inte bli exponerade. Vad som avgör vilket intresse som väger tyngst beror bland annat på bilden, hur den sprids och i vilket sammanhang.

Tänk också på att barn, deras vårdnadshavare eller anhöriga kan ha skyddad identitet. Då ska bilder eller filmer inte spridas. Därför är det viktigt att respektera om skolan har regler kring fotografering.

Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen. Barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har. 

Mer information hos Folkhälsomyndigheten
Om en arbetsgivare har fått veta att en anställd är smittad eller i karantän, finns råd för uppföljning och åtgärder för att förhindra smittspridning på Folkhälsomyndighetens webbplats.

 

 Texten uppdaterad 2020-11-24 kl 09:55

Senast uppdaterad: 1 februari 2023
Sidans etiketter Dataskydd, Covid-19
Senast uppdaterad: 1 februari 2023
Sidans etiketter Dataskydd, Covid-19