I och med den globala pandemin vi befinner oss i, behöver vi såklart bete oss på annat sätt än vad vi är vana vid. Men vad betyder det egentligen i förhållande till GDPR? Nya situationer kan skapa nya funderingar gällande insamling av personuppgifter, exempelvis vad som faktiskt räknas som en uppgift om hälsa, hur du ska agera som arbetsgivare eller vilket ansvar lärare har över personuppgiftsinsamling vid distansundervisning. I det här blogginlägget ska vi därför kika lite mer på vad för situationer och problem som kan uppstå på arbetsplatsen och i skolan.
På arbetsplatsen
Uppgifter om att en medarbetare är sjuk i corona är personuppgifter som rör dennes hälsa. Därmed ska sådana uppgifter hanteras varsamt, då det faller in under särskilda kategorier av personuppgifter, vilka man måste ha ett speciellt undantag för att få behandla. Ni kan läsa vårat tidigare, mer generellt informerande, blogginlägg om GDPR inom hälso- och sjukvården här. Datainspektionen listar även uppgifter om att en person är satt i karantän som en trolig personuppgift om personens hälsa. Däremot räknas inte uppgifter om att exempelvis en anställd har återvänt från ett riskområde som en personuppgift om hälsa. Inte heller att en anställd arbetar hemifrån i en så kallad ”frivillig karantän”, det vill säga att denne av försiktighetsskäl arbetar hemifrån, räknas som en personuppgift om hälsa. Dessa måste dock fortfarande, såklart, behandlas i enlighet med GDPR.
Hur blir det då när det framkommer att en kollega blivit sjuk i corona; vad får egentligen kommuniceras till medarbetarna? I normalfallet ska det räcka att informera de anställda om att en person på arbetsplatsen har blivit sjuk i corona. Endast i undantagsfall får man också ge ut namnet på den personen. Det ska i så fall vara absolut nödvändigt att utge det och den sjuke medarbetaren ska informeras om detta i förväg. Det är nämligen viktigt att, i enlighet med principen om uppgiftsminimering, aldrig utge mer information än vad som faktiskt är nödvändigt. Det är självfallet också viktigt att informationen är saklig och inte kränkande för den enskilde på något sätt!
Även när det kommer till information om att en medarbetare arbetar hemifrån efter att denne varit i ett riskområde gäller det att tänka till en gång extra innan man utger informationen. Internt kan man såklart informera om att personen arbetar hemifrån för att kunna informera om hur denne kan nås. Däremot bör man fundera över ifall det verkligen är nödvändigt att utge informationen till personer utanför företaget. I bägge fallen anser dessutom Datainspektionen att man inte bör ange anledningen till varför personen inte befinner sig på arbetsplatsen.
Angående frågan ifall en arbetsgivare kan utföra hälsokontroller på sina anställda så måste man se till relevanta lagar inom arbetsrätten samt hälsa och säkerhet. Arbetsgivaren ska enbart ha tillgång till och behandla sådana personuppgifter ifall att det förekommer rättsliga krav på dem gällande det.
I skolan
Mycket av undervisningen har under våren skett på distans. I förhållande till detta har det uppstått en hel del nya frågor, även gällande GDPR. En sådan fråga är vem som är personuppgiftsansvarig för distansundervisningen. Många kan tro att det är läraren eller möjligen rektorn som ansvarar för behandlingen av personuppgifter. Så är dock inte fallet. I exempelvis en kommunal skola är det utbildningsnämnden i kommunen som är personuppgiftsansvarig då denne bestämmer ändamålet med personuppgiftsbehandlingen och hur den ska gå till. För en friskola är den personuppgiftsansvarige istället ett aktiebolag.
Vid onlineföreläsningar är det även viktigt för skolan att tänka på uppgiftsminimering, exempelvis att enbart använda sig av ljud och video av eleverna om det verkligen är nödvändigt. Detta gäller speciellt i förhållande till barn, då deras personuppgifter anses vara extra skyddsvärda enligt GDPR. Det är också viktigt att tänka på att ju känsligare personuppgifterna anses vara desto högre krav ställs det på de säkerhetsåtgärder som ska vidtas för att personuppgifterna ska anses skyddade. Alla avvägningar ni gör mellan erat behov att samla in uppgifterna och elevernas behov av att inte få sina personuppgifter insamlade bör dokumenteras och sparas.
Innan distansundervisning påbörjas är det därmed viktigt för skolan att se till att dess arbete med informationssäkerhet överensstämmer med säkerhetsbestämmelserna i GDPR. Datainspektionen har utformat en kort vägledande checklista för detta, vilken ni kan hitta här. Dessutom är det som alltid med GDPR viktigt att man har en rättslig grund för behandlingen. Den rättsliga grunden ”samtycke” ska allra helst undvikas, eftersom det rör sig om ett obalanserat maktförhållande mellan eleverna och skolan. Istället brukar den rättsliga grunden ”uppgift av allmänintresse” användas både för privata och kommunala skolor.
Frågor?
Vi hoppas att ni tyckte om detta blogginlägg! Om ni har några fler frågor gällande GDPR är ni mer än välkomna att kontakta oss på GDPR Hero via e-post eller telefon 046 – 273 17 17.
Ni kan också boka en demo av GDPR Hero här för att få reda på hur just ni kan uppfylla GDPR:s krav!
