Antikroppstester och GDPR
Fler och fler arbetsgivare erbjuder nu sina anställda antikroppstester i syfte att upptäcka om de har varit sjuka i covid-19 eller inte. Ofta genomförs testerna av en privat vårdgivare men även arbetsgivaren kan komma att behandla personuppgifter om de anställdas hälsa. Denna artikel innehåller en kortfattad vägledning om vad arbetsgivare bör tänka på i en sådan situation.
Vad är en hälsouppgift?
Alla uppgifter som rör en individs tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd utgör en hälsouppgift. ”Hälsa” ska således tolkas brett och innefattar allt från sjukdomar till brutna leder och vitaminbrist. Enligt GDPR är hälsouppgifter särskilt skyddsvärda.
Nedan följer några exempel på uppgifter som, direkt eller indirekt, utgör en hälsouppgift:
- Resultat från ett antikropptest som indikerar att en person har eller saknar antikroppar mot covid-19.
- Uppgifter från en enkät där den anställde svarar på frågor om sin hälsa, såsom frågor om symptom eller om denne tillhör en riskgrupp.
- En uppgift som inte i sig är en hälsouppgift men som kopplas till en hälsouppgift.
När får jag behandla hälsouppgifter?
Huvudregeln är enkel, det är förbjudet att behandla hälsouppgifter, men från huvudregeln finns flera undantag. Arbetsgivare får t.ex. behandla hälsouppgifter när det är nödvändigt för att fullgöra sina skyldigheter inom arbetsrätten. Arbetsgivarens arbetsmiljöansvar innebär bl.a. att de ska undersöka eventuella risker för de anställda att utsättas för smitta samt förebygga smitta och smittspridning.
En arbetsgivare ska i enlighet med principen om uppgiftsminimering endast behandla personuppgifter som är relevanta och inte alltför omfattande för ändamålet. Arbetsgivaren bör undvika att använda namnen på anställda som har testats positivt för antikroppar, om så inte är nödvändigt. Om en anställd arbetar hemifrån p.g.a. resultatet av antikropptestet bör arbetsgivaren undvika att informera om varför den anställde gör det.
Vilken information ska jag ge till de anställda?
Arbetsgivare har ett långtgående informationsansvar. De registrerade ska bl.a. ha informerats om behandlingen, anledningen till den och hur uppgifterna behandlas. Om arbetsgivaren vill behandla uppgifterna för annat syfte än det för vilket de ursprungligen samlades in måste de anställda i regel även informeras om detta innan denna andra behandling genomförs.
Några praktiska tips
- Informera om behandlingen av personuppgifter.
- Ha rutiner för hur hälsouppgifter ska behandlas, t.ex. vem som får tillgång till sådana.
- Instruera de personer som behandlar hälsouppgifter om hur de får behandla sådana.
- Ha en god säkerhet vid behandlingen, tänk t.ex. på att hälsouppgifter inte får skickas över öppna nät i okrypterad e-post.
Vid behov, genomför en konsekvensbedömning innan behandlingen påbörjas.