Hoppa till innehåll på sidan

Covid-19 och personuppgifter

IMY har fått frågor om covid-19 och personuppgifter – särskilt med koppling till arbetslivet. Dataskyddsförordningen hindrar inte arbetsgivare från att vidta nödvändiga åtgärder för att minska smittspridningen. Men det är viktigt att samtidigt värna anställdas integritet och skydd för personuppgifter. Därför har vi tagit fram denna vägledning med svar på vanliga frågor.

Med anledning av covid-19 ställs frågor om vilka uppgifter som till exempel en arbetsgivare får registrera och dela med sig av inom och utanför organisationen. Situationen kan kräva att information snabbt måste samlas in för att vidta nödvändiga åtgärder.

Samtidigt är uppgifter om hälsa känsliga personuppgifter. Det ställer höga krav på hur informationen hanteras. En arbetsgivare bör undvika att systematiskt samla in uppgifter om eventuella sjukdomstillstånd från anställda, eller deras anhöriga. De åtgärder som en arbetsgivare vidtar får heller aldrig gå så långt att arbetsgivaren i praktiken tar sig an uppgifter som myndigheter ska hantera.

När det gäller covid-19 och personuppgifter är det viktigt att känna till att:

  • Uppgifter om att någon är smittad av coronavirus räknas som en personuppgift om hälsa.
  • Uppgifter om att en anställd har återvänt från ett så kallat riskområde anses inte som en personuppgift om hälsa.
  • Uppgifter om att någon är i ”karantän” (med innebörden att hen av försiktighetsskäl inte vistas på arbetsplatsen) anses inte som en personuppgift om hälsa, om den inte innehåller närmare information om orsaken.
  • Uppgifter om att någon är satt i karantän enligt smittskyddslagen är däremot sannolikt en personuppgift om hälsa.

En uppgift om hälsa är en känslig personuppgift

Huvudregeln är att behandling av känsliga personuppgifter är förbjuden, men arbetsgivare får behandla känsliga personuppgifter när det är nödvändigt för att kunna fullgöra sina skyldigheter inom arbetsrätten. På Arbetsmiljöverkets webbplats kan du läsa information om covid-19 ur ett arbetsmiljöperspektiv.

Även uppgifter om enskilda som inte är hälsouppgifter är fortfarande personuppgifter. Det ställer vissa krav på behandlingen av uppgiften enligt dataskyddsförordningen. Bland annat måste de grundläggande principerna följas och behandlingen kräver en rättslig grund.

IMY vill betona att dataskyddsförordningen inte hindrar de nödvändiga åtgärder som behöver vidtas för att minska smittspridningen av covid-19. Det är däremot viktigt att enskildas rätt till privatliv och skyddet för personuppgifter värnas, även under dessa speciella omständigheter. Det innebär bland annat att en arbetsgivare bara får registrera de personuppgifter som är nödvändiga för det aktuella syftet och sedan ska begränsa åtkomsten till dem som behöver uppgifterna i arbetet. Enbart den information som den aktuella mottagaren behöver ska lämnas ut.

Den enskilda ska få information om hur hans eller hennes personuppgifter behandlas, till exempel i vilket syfte. Informationen ska vara lättillgänglig med ett klart och tydligt språk. En arbetsgivare måste alltid skydda de personuppgifter som behandlas genom att vidta nödvändiga säkerhetsåtgärder så att inte obehöriga kommer åt informationen. Det är särskilt viktigt när det rör sig om känsliga personuppgifter. Arbetsgivaren bör också dokumentera vilka åtgärder som har vidtagits och vilka bedömningar som har gjorts.

Socialtjänst

IMY har besvarat en förfrågan från Sveriges Kommuner och Regioner (SKR) beträffande socialtjänstens möjligheter till användning av videotjänster. Vårt svar ger vägledning om bland annat ansvarsskyldigheten och vad som kännetecknar socialtjänsten när det gäller art, omfattning, sammanhang och ändamål som grund för att bestämma säkerhetsåtgärder.

IMY:s svar till Sveriges Kommuner och Regioner (pdf 120 kB) (pdf, 120 kB)

Vägledning från EU

EU-kommissionen och Europeiska dataskyddsstyrelsen arbetar löpande med att ge vägledning kring behandlingen av personuppgifter med anledning av corona.

EDPB:s uttalande om behandling av personuppgifter i samband med Covid-19

Vägledning från EU

Vägledning från Europarådet

Europarådet är en mellanstatlig europeisk samarbetsorganisation med 47 medlemsstater, däribland Sverige, som har till uppgift att främja demokrati och mänskliga rättigheter.

Europarådet arbetar för närvarande, med anledning av coronakrisen, med att ge europeiska stater verktyg som ska hjälpa dem att respektera demokrati, mänskliga rättigheter och rättsstatsprincipen trots rådande omständigheter.

På dataskyddsområdet har Europarådet antagit uttalanden om rätten till personlig integritet med anledning av covid-19 och användandet av digitala smittspårningsapplikationer som används för att stävja utbrottet av covid-19. Uttalandena är publicerade på engelska på Europarådets webbplats.

Joint Statement on the right to data protection in the context of the COVID-19 pandemic

Joint Statement on Digital Contact Tracing

Frågor och svar

Personuppgifter om hälsa är alla uppgifter som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag från förbudet.

Känsliga personuppgifter

Dataskyddsförordningen ger vissa rättigheter till dem vars personuppgifter behandlas (de registrerade), bland annat rätt till information och rätt till registerutdrag. Rättigheterna omfattar även hälsouppgifter.

De registrerades rättigheter

Arbetsgivaren ska vidta alla åtgärder som behövs för att förbygga att arbetstagare utsätts för ohälsa. I normalfallet borde det gå att informera de anställda som behöver informationen utan att nämna namnet på kollegan som eventuellt smittats. Endast i undantagsfall bör det vara nödvändigt att tala om vem den drabbade är. Om arbetsgivaren bedömer att det, på grund av exempelvis skyldigheter inom arbetsrätten, är absolut nödvändigt att avslöja vem som smittats ska den anställda i fråga informeras om detta i förväg.

Arbetsgivaren bör också vidta åtgärder för att skydda den anställdas integritet. Informationen som lämnas ska alltid vara saklig och korrekt och får inte vara kränkande för den anställda som berörs. Som alltid gäller att du inte ska registrera eller lämna ut fler uppgifter än vad som är nödvändigt för att uppnå syftet. Utöver dataskyddsreglerna finns det regler om tystnadsplikt och sekretess som kan påverka vilka uppgifter om anställdas sjukdom som en arbetsgivare får lämna ut.


Det är tillåtet att informera internt om att en anställd arbetar hemifrån och om hur hen kan nås. IMY rekommenderar dock att ni som arbetsgivare inte uppger orsaken. När det gäller att informera personer utanför organisationen, bör arbetsgivaren noga överväga vilka som behöver få informationen och inte heller då ange orsaken.

Om en anställd arbetar hemifrån bör arbetsgivaren i samråd med den anställda bestämma hur kontaktuppgifter kan förmedlas till utomstående på ett integritetsvänligt sätt.

Meddelandet till utomstående som vill kontakta anställda som är smittade och i karantän bör i princip vara att den anställda i fråga är frånvarande eller inte tillgänglig.

Både arbetsgivare och anställda har ofta ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig till den anställda vid olyckshändelse eller sjukdom under arbetstid. IMY anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning eller, om arbetsgivaren är en myndighet, ett allmänt intresse.

Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. När ändamålen med en viss behandling är uppfyllda är huvudregeln att uppgifterna i fråga ska avidentifieras eller utplånas.

Mer information för myndigheter som ska bevara personuppgifter i allmänna handlingar

Att mäta enskildas kroppstemperatur är ett betydande integritetsintrång. Att bedöma arbetsgivares rätt att göra kontroller och arbetstagares skyldighet att genomgå kontrollerna styrs dock i huvudsak av arbetsrättsliga regler och omfattas inte av IMY:s befogenheter som tillsynsmyndighet.

Om en arbetsgivare väljer att registrera personuppgifter från kontrollen, till exempel i ett it-baserat besökssystem, omfattas däremot den behandlingen av dataskyddsförordningen och därmed IMY:s befogenheter som tillsynsmyndighet. En sådan registrering av personuppgifter är normalt inte tillåten.

Frågor om ifall en arbetsgivare får kräva eller förbjuda att anställda arbetar hemifrån är inte en dataskyddsfråga. Den faller därmed utanför IMY:s verksamhetsområde.

Livevideomöten kan genomföras om vårdgivare och personuppgiftsbiträden vidtar säkerhetsåtgärder.

Det finns regler om säkerhetsåtgärder vid behandling av personuppgifter om patienter. Reglerna finns i GDPR, patientdatalagen och Socialstyrelsens föreskrifter HSLF-FS 2016:40. Reglerna ålägger personuppgiftsansvariga och personuppgiftsbiträden att vidta ett antal säkerhetsåtgärder när personuppgifter behandlas via t.ex. öppet nät. Det handlar framför allt om att skydda patientuppgifter från obehörigt röjande och obehörig åtkomst genom t.ex. kryptering och säker inloggning.

Innan en personuppgiftsbehandling påbörjas är det alltid viktigt att ta fram en process och analysera dels hur patientuppgifterna överförs mellan olika aktörer, dels hur uppgifterna behandlas i och överförs mellan olika it-system. En sådan analys är relevant för att kunna bedöma om säkerhetskraven kan uppfyllas med livevideosystemet. Det är vårdgivaren och vårdgivarens personuppgiftsbiträde som behöver göra flödes- och säkerhetsanalyserna och dokumentera bedömningar och beslut. Notera att om servrar som hanterar patientuppgifter finns i ett land utanför EU/EES-området behöver GDPR:s bestämmelser om tredjelandsöverföringar följas.

 

Vad ska skolan tänka på?

Vad gäller för skolavslutningar och studentutspring? Vad ska den personuppgiftsansvariga tänka på om avslutningen livesänds?

Vad gäller för skolavslutningar och studentutspring? Vad ska den personuppgiftsansvariga tänka på om avslutningen livesänds?

Ja, det kan i den nu rådande Covid 19-situationen vara förenligt med dataskyddsförordningen (GDPR). Det krävs då att man tänkt igenom kraven på integritetsskydd och anpassat filmningen bland annat till kraven på uppgiftsminimering. Andra krav är att man undviker behandling av känsliga uppgifter, tänker på det särskilda skyddsbehov som gäller för barn och proportionaliteten och vidtar tillräckliga säkerhetsåtgärder.

Guide: Får man livesända skolavslutningar under coronapandemin?

Ja, i den nu rådande Covid 19-situationen kan det vara förenligt med dataskyddsförordningen (GDPR). Utgångspunkten är att anordnande av luciatåg utgör en del av utbildningsverksamheten i skolan. Den personuppgiftsansvariga kan därför motivera behandlingen med stöd av den rättsliga grunden uppgift av allmänt intresse.

Det krävs att den personuppgiftsansvariga tänkt igenom kraven på integritetsskydd och anpassat livesändningen med tanke på uppgiftsminimering. Den personuppgiftsansvariga ska bland annat tänka igenom vilka som ska få ta del av livesändningen. Dessutom måste åtkomst till livesändningen uppfylla kraven på lämplig säkerhet enligt dataskyddsförordningen.

Behandling av känsliga personuppgifter (som uppgifter om hälsa eller religiös övertygelse) kan undvikas i själva livesändningen genom att skolan vidtar faktiska åtgärder på plats, till exempel tydliggör för barnen och deras vårdnadshavare var livesändningen av luciatåget kommer att ske eller om det kommer finnas möjlighet att vara med i luciatåget utan att synas i själva livesändningen.

Vid behandling av känsliga personuppgifter (som uppgifter om hälsa eller religiös övertygelse) ställs högre krav på den personuppgiftsansvarigas val av rättslig grund. Det måste finnas ett tillämpligt undantag i dataskyddsförordningen för att behandling av sådana uppgifter ska vara laglig.

Tänk även på att personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen. Barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har.

Guide: Livesända luciatåg under coronapandemin

Som utgångspunkt är den som publicerar något i sociala medier att betrakta som personuppgiftsansvarig för den personuppgiftsbehandling som publiceringen innebär. Företaget (till exempel Facebook) som tillhandahåller plattformen kan också vara personuppgiftsansvarig om det kan påverka eller bestämma över inläggen.

Det är den personuppgiftsansvariga som ska följa de grundläggande principerna och ha rättsligt stöd för behandlingen i dataskyddsförordningen. Den personuppgiftsansvariga måste också vidta tekniska och organisatoriska säkerhetsåtgärder vid publicering av bilder eller filmer av barn på sociala medier.

Det är viktigt att skolan tänker på att barn, deras vårdnadshavare eller anhöriga kan ha skyddad identitet. Då ska bilderna eller filmerna inte spridas. Det är därför viktigt att skolan har rutiner och riktlinjer kring till exempel behandling av barns personuppgifter i sociala medier när det gäller spridning av bilder och/eller filmer av barn.

Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen. Barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har.

 

Privatpersoners fotografering och filmande i skolan

Ja, om du tar bilder och filmar till ditt privata album eller sparar dem på din egen dator eller mobiltelefon så går det bra. Då gäller inte reglerna i dataskyddsförordningen.

Om du ska sprida bilderna till en större krets, exempelvis genom publicering på nätet, så måste du följa dataskyddsförordningen. Då behöver du göra en avvägning mellan ditt intresse av att sprida bilderna och av barnens intresse av att inte bli exponerade. Vad som avgör vilket intresse som väger tyngst beror bland annat på bilden, hur den sprids och i vilket sammanhang.

Tänk också på att barn, deras vårdnadshavare eller anhöriga kan ha skyddad identitet. Då ska bilder eller filmer inte spridas. Därför är det viktigt att respektera om skolan har regler kring fotografering.

Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen. Barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har.

 

Mer information hos Folkhälsomyndigheten

Om en arbetsgivare har fått veta att en anställd är smittad eller i karantän, finns råd för uppföljning och åtgärder för att förhindra smittspridning hos Folkhälsomyndigheten.

Folkhälsomyndigheten

Senast uppdaterad: 12 juni 2023
Sidans etiketter Dataskydd, Covid-19