Myndighetene og arbeidsgiver vs. mine helsedata

Både myndighetene og arbeidsgiver har behov for mer informasjon om meg knyttet til smittehåndtering. Er det på grunn av koronautbruddet fritt frem for arbeidsgiver og myndighetene å bruke mine helsedata for smittehåndtering?

IT & Media

Er du bekymret for dine eller ansattes private opplysninger?

Utgangspunktet er at de generelle lovkravene er de samme som før koronakrisen. I Norge har vi allerede regler som beskytter deg som privatperson eller ansatt mot bl.a. ubegrenset overvåkning fra myndigheter eller arbeidsgivere.

 

Slik beskyttelse følger av EUs generelle personvernforordning (GDPR) som ble norsk lov da den nye personopplysningsloven trådte i kraft sommeren 2018. GDPR regulerer hvordan man lovlig kan behandle personopplysninger. Både myndigheter og arbeidsgivere plikter å videreføre de rettigheter fysiske personer (de registrerte) har etter GDPR.

 

GDPR er en generell lov som setter rammene for behandling av personopplysninger, og GDPR åpner opp for nasjonale tilpasninger og unntaksregler. GDPR inneholder muligheter for både offentlig og privat virksomhet til å behandle personopplysninger i noe større grad enn under en normaltilstand, blant annet kan personopplysninger behandles for å redde liv.

 

Norge har særregler om helseopplysninger

Opplysninger om en person er eller har vært smittet med koronaviruset, er en helseopplysning. Helseopplysninger om fysiske personer er en særlig kategori personopplysning (også kjent som sensitive personopplysninger), og er dermed i utgangspunktet ulovlig å behandle etter GDPR. Det er visse unntak der slike opplysninger kan behandles, men deres sensitive karakter innebærer samtidig at man må være ekstra varsom med bl.a. oppbevaringstid og sikker lagring.

 

Norge har spesiallovgivning før koronakrisen kom som gjelder i tillegg til GDPR, bl.a. for lovlig behandling av helseopplysninger. Et eksempel er helseregisterloven som hjemler behandling av helseopplysninger i helseforvaltningen og helsetjenesten.

 

Et annet eksempel på aktuell spesiallovgivning grunnet koronakrisen er smittevernloven. Smittevernloven åpner for å gjøre unntak i legers taushetsplikt på visse vilkår. Leger kan advare personer som sannsynligvis har blitt smittet av koronaviruset siden dette viruset anses som en allmennfarlig smittsom sykdom, og leger kan gjøre dette uten å innhente samtykke fra personen som er smittekilden.

 

Personvernrådet om GDPR og koronakrisen

EU har et eget ekspertorgan, Personvernrådet, som uttaler seg om personvern og tolkningen av GDPR. Den 20 mars 2020 publiserte Personvernrådet en erklæring om behandling av personopplysninger i forbindelse med utbruddet av koronavirus.

 

I erklæringen står det at selv i disse ekstraordinære tider må virksomheter sørge for å sikre menneskers rett til personvern. Dette innebærer bl.a. at all behandling må ha et lovlig behandlingsgrunnlag.

 

Kompetente offentlige helsemyndigheter og ansatte kan lovlig behandle personopplysninger i forbindelse med en epidemi i samsvar med nasjonalt regelverk. De kan for eksempel utføre behandlinger som er nødvendig av hensyn til betydelig offentlig interesse innen folkehelse. Personvernrådet understreker at man under slike omstendigheter ikke trenger å innhente samtykke fra den enkelte. Hvilke behandlinger som kan utføres med grunnlag i den offentlige interesse, vil bero på en helhetsvurdering, og terskelen er høy.

 

Et annet mulig behandlingsgrunnlag er at behandlingen er nødvendig for å beskytte fysiske personers vitale interesser. Typisk brukes dette behandlingsgrunnlaget for å berge liv og helse til en person som ikke selv kan samtykke til behandlingen. Samtidig henviser GDPR til at dette kan være et aktuelt behandlingsgrunnlag for bekjempelse av epidemier.

 

Arbeidsgivere kan iverksette beskyttelsestiltak

Det følger av den norske personopplysningsloven § 6 at arbeidsgivere kan behandle personopplysninger i ansettelsesforhold når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

 

Personvernrådet sier i dets erklæring at arbeidsgiverens rettslige forpliktelser kan være forpliktelser knyttet til helse og sikkerhet på arbeidsplassen eller i tilknytning til allmennhetens interesse, for eksempel kontroll med sykdommer og andre helsetrusler.

 

Erklæringen inneholder flere praktiske svar på spørsmål om ansattes personvern:

  • Arbeidsgiver kan kun kreve helseinformasjon i den utstrekning nasjonal lovgivning tillater dette.
  • Arbeidsgiver skal kun få tilgang til og behandle helseopplysninger dersom deres egne rettslige forpliktelser krever det.
  • Arbeidsgiver kan samle inn personligopplysninger for å oppfylle sine plikter og organisere arbeidet i tråd med nasjonal lovgivning.
  • Arbeidsgivere bør informere ansatte om koronatilfeller og iverksette beskyttelsestiltak, men skal ikke kommunisere mer informasjon enn nødvendig. I tilfeller der det er nødvendig å avsløre navnet på den aktuelle ansatte som er smittet (eksempelvis i en forebyggende kontekst) og nasjonal lovgivning tillater det, skal den smittede ansatte bli informert på forhånd og deres verdighet og integritet skal ivaretas.

 

Erklæringen fra Personvernrådet viser at arbeidsgiver både må foreta en vurdering av det reelle behovet og grunnlaget for behandling av sensitive personopplysninger etter nasjonal lovgivning, for eksempel arbeidsmiljøloven. Selv om grunnlaget og behovet for behandlingen foreligger, må arbeidsgiver samtidig påse at behandlingen ivaretar de registrertes rettigheter og friheter innen personvern i tilstrekkelig grad, for eksempel deres krav på integritet, anonymitet og informasjon.

 

Koronaloven –  kan unntak fra GDPR gis ved forskrift etter denne loven?

Stortinget krisefullmakt kalt koronaloven trådte i kraft 27. mars 2020. Koronalovens navn er Midlertidig lov om forskriftshjemmel for å avhjelpe konsekvenser av utbrudd av Covid-19 mv.

 

Koronaloven gir regjeringen en ny forskriftshjemmel som åpner for at regjeringen kan utfylle, supplere eller fravike en rekke angitte lover ved bruk av midlertidig forskrift i den grad det er nødvendig for å beskytte samfunnet mot koronaviruset. Under behandlingen 21. mars påpekte departementet at forskriftshjemmelen vil åpne for flere nasjonale tilpasninger av GDPR uten at noen konkrete unntak for personvern ble foreslått.

 

Selv i dagens usikre koronatider er det viktig at nye nasjonale unntaksregler kun gjør unntak som er nødvendig for at behandling av personopplysninger skal kunne foretas innenfor rammene av GDPR. EØS-loven § 2 gir GDPR rang over alminnelig nasjonal lov.

 

Regjeringen kan ikke bruke dets nye fullmakt til å komme med nye lovbestemmelser som strider mot ufravikelige regler i GDPR. Et eksempel er GDPR artikkel 23 som angir at det er mulig i nasjonal rett å fastsette unntak fra de registrertes rettigheter etter GDPR, men artikkel 23 oppstiller også konkrete vilkår som norsk lovgiver må hensynta om slike unntak gis i ny lov eller forskrift.

 

I tillegg er koronaloven begrenset av Grunnloven og Menneskerettsloven slik at regjeringens midlertidige forskrifter ikke kan gjøre inngrep som strider mot disse. Personvern er en menneskerettighet som både er beskyttet i Grunnloven og Menneskerettsloven.

 

Regjeringen har allerede benyttet dets nye fullmaktslov. Vi fikk fra 28. mars 14 nye midlertidige forskrifter hjemlet i koronaloven.

 

En slik ny forskrift gjelder endringer i helselovgivningen for å avhjelpe konsekvenser under utbruddet av Covid-19. I denne forskriften står det bl.a. at spesialisthelsetjenesten skal gi den som søker eller trenger helsehjelp, de helse- og behandlingsmessige opplysninger vedkommende trenger for å ivareta sin rett. Videre står det i forskriften at spesialisthelsetjenesten uten hinder av taushetsplikten kan gi nødvendige helseopplysninger til HELFO dersom det er nødvendig for å sikre at pasienten får nødvendig helsehjelp innen forsvarlig tid.

 

Ny forskrift hjemler ny app for digital smittesporing av koronaviruset i Norge

Regjeringen kom også med ny forskrift 27. mars 2020 som ikke var hjemlet i koronaloven. Ny forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19 trådte i kraft straks med grunnlag i smittevernloven.

 

Formålet med forskriften er å bidra til rask oppsporing av og formidling av råd til personer som kan være smittet av koronaviruset. Etter denne forskriften § 2 kan Folkehelseinstituttet etablere et system for digital og automatisert sporing av nærkontakter til personer som er smittet av koronaviruset.

 

Slikt system er en app på deltakernes mobiltelefon som kartlegge hvem som har vært i nærkontakt med personer som er smittet av koronaviruset. Det står også i ny forskrift at bruk av slik app skal være frivillig. Ny forskrift klargjør at masseovervåkning av de personene som frivillig bruker appen, er lovlig så lenge forskriftensa vilkår er oppfylt. Når slik ny app er klar for nedlasting, må den inneholde dekkende, forståelig og lett tilgjengelig informasjon om hvordan personopplysningene behandles.

 

Datatilsynet i Norge har en praktisk tilnærming på koronakrisen

Vi i Norge er heldige som har et løsningsorientert tilsynsorgan. Datatilsynet har laget en samleside med svar på ofte stilte spørsmål om personvern og koronaviruset.

 

Koronakrisen medfører at noen strenge krav i GDPR kan lempes. Datatilsynet har bl.a. signalisert at virksomheter i Norge kan oppgi koronakrisen som en årsak til at hovedregelen i GDPR om å varsle om brudd på personopplysningssikkerheten innen 72 timer ikke er oppfylt. Datatilsynet har presisert at den behandlingsansvarlige bare kan gjøre dette dersom koronakrisen er den reelle grunnen til forsinkelsen.

 

Datatilsynet har også gitt råd til skoler som ønsker å ta i bruk digitale hjelpemidler – både til hjemmeundervisning og kommunikasjon med hjemmet. Et tips tilsynet viser til er at det er opprettet en egen gruppe på Facebook for lærere kalt «Korona-dugnad for digital undervisning» som blant annet tar opp spørsmål om personvern forbundet med bruk av fjernundervisningsverktøy.

 

Selv om kommuner og andre behandlingsansvarlige under koronakrisen tar i bruk nye digitale læremidler til beste for elever og kommunikasjon med foresatte, lærere og andre ansatte i kommunen, er det viktig å overholde de øvrige kravene til behandling i GDPR. De berørte personene skal blant annet informeres om behandlingen, særlig hva som gjøres av hvem, hvilke personopplysninger som lagres av hvem, hvor lenge etc. De tiltak som settes i gang under koronakrisen grunnet koronakrisen, må også kunne reverseres fra den dagen krisen er over.

Forfatter

Magnus Ødegaard

  • partner | advokat