Det är enligt artikel 9.1 GDPR förbjudet att hantera uppgifter om en persons hälsa. Nu kanske du tänker att ”Oj, ska vi inte få skriva upp att en anställd sjukanmält sig!?”. Så är det inte riktigt. Förbudet mot att hantera uppgifter om en persons hälsa är en utgångspunkt, det finns flera användbara undantag till förbudet.

Detta är ett vanligt och pedagogiskt sätt att lägga upp en lagregel, att först förbjuda något för att sedan tillåta det i vissa fall. Förbudet tillsammans med undantagen gör att det blir tydligt att behandlingen endast är tillåten om den faller in under något av undantagen. Varje behandling av uppgifter om en persons hälsa måste alltså stödja sig på något av de undantag som stadgas i art. 9.2. Låt oss ta exemplet med sjukskrivningar.

En anställd skickar ett sms på morgonen till dig, som är chef på arbetsplatsen:

”Hej, det verkar som att jag åkt på en släng av magsjuka! Måste tyvärr stanna hemma idag. //Adam”

Uppgift om anställds hälsa

För att en personuppgift ska anses vara en uppgift om hälsa krävs inte så mycket, det räcker med en uppgift om att personen är sjuk. Det finns flera syften med att behandla sådana uppgifter, exempelvis att anpassa bemanningen på arbetsplatsen, att betala ut sjuklön och att meddela försäkringskassan efter 14 dagars sjukskrivning. Här finns det ett undantag i art. 9.2.b som handlar om fullgörande av rättigheter och skyldigheter på arbetsplatsen, som gör att denna behandling är tillåten. En sådan skyldighet är till exempel att arbetsgivaren ska anmäla till försäkringskassan om en anställd varit sjukskriven längre än 14 dagar.

Det krävs fortfarande en laglig grund

Tänk på att varje behandling av särskilda kategorier av personuppgifter enligt art. 9 fortfarande måste ha stöd av någon av de sex lagliga grunderna* i art. 6.1. I allmänhet är det nödvändigt för fullgörandet av anställningsavtalet att behandla personuppgifter om sjukskrivning, vilket stämmer överens med den lagliga grunden avtal (art. 6.1.b). Det finns också en rättslig skyldighet att meddela försäkringskassan efter 14 dagar, vilket även det utgör en laglig grund för behandling av personuppgifter. För den behandlingen finns stöd i grunden rättslig förpliktelse (art. 6.1.c).

En central princip i GDPR är att uppgifter inte ska sparas längre än vad som är nödvändigt. Det betyder att så fort det inte finns ett syfte med att behandla någon av dessa uppgifter, måste de raderas. Här är det bra att göra skillnad på vilka uppgifter som finns. Om vi återvänder till sms:et ovan som Adam skickade in, finns det antagligen inte skäl att spara uppgiften särskilt länge om att det är just magsjuka han åkt på. Däremot behöver antagligen uppgiften om att han sjukanmält sig sparas längre, exempelvis tills lönen är utbetald. Det finns en skyldighet enligt sjuklönelagen för den anställde att lämna in läkarintyg den åttonde sjukskrivningsdagen. Även om inte intyget behöver innehålla uppgift om vilken sjukdom det är fråga om kan det förekomma ändå och då är det en mycket känslig uppgift.

 

Säker behandling är viktigt

En annan aspekt av att skydda de särskilt känsliga kategorierna av uppgifter är att de måste förvaras på ett säkert sätt. E-post- eller sms-inkorg anses generellt inte vara säkra platser att förvara personuppgifter på. Dels för att den tekniska säkerheten ofta inte är särskilt hög, dels för att det är svårt att ha kontroll på vilka uppgifter som ska gallras ut. När Adam sms:ar in att han är sjuk bör du som tar emot den radera sms:et och, om det behövs, anteckna att han är sjuk i exempelvis en pärm eller en fil på en dator. Du behöver alltså inte vara orolig för att du inte skulle få anteckna att en anställd sjukanmält sig. Men du bör fråga dig vilken information som är nödvändig att spara och hur länge det är nödvändigt att spara den. *De lagliga grunderna är samtycke, avtal, rättslig förpliktelse, grundläggande intresse, allmänt intresse eller intresseavvägning.

 

I texten hänvisas till artiklar i förordningen, du hittar GDPR här!

 

Erik Jonzen

support@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This