Søg
Ud over de vidtgående tiltag indført overalt i verden for at inddæmme Coronavirus (COVID-19), indfører virksomheder interne procedurer og tiltag, herunder screeningmetoder for at undgå spredning af virus til kontorfaciliteterne. Denne praksis giver anledning til ansættelsesretlige spørgsmål og spørgsmål vedrørende behandlingen af personoplysninger. I dette nyhedsbrev vil vi vurdere konsekvenserne af indførelsen af kontrolforanstaltninger i Danmark i relation to GDPR og ansættelsesret.
COVID-19 blev første gang rapporteret den 31. december 2019 i Wuhan i Kina og har siden da spredt sig til hele verden. Den 30. januar 2020 erklærede Verdenssundhedsorganisationen WHO udbruddet for en international sundhedskrise. For at inddæmme spredningen af virus i kontorfaciliteter, har virksomhederne taget restriktive tiltag. Det omfatter nedlukning af arbejdspladser, midlertidig karantæne, social afstandtagen og screening af medarbejdere. Sådanne tiltag kan medføre, at der indsamles personlige oplysninger fra en bred vifte af personer, og dette vil som følge af hensynet til beskyttelsen af personoplysninger i henhold til den generelle databeskyttelsesforordning (“GDPR”) skulle tages i betragtning. Derfor forsøger virksomheder at forstå, hvilke rettigheder og forpligtelser de har i denne situation og særligt hvilke tiltag, der juridisk set er mulige. Derfor har Datatilsynet den 5. marts 2020 udstedt en vejledning vedrørende arbejdsgiveres kontrolforanstaltninger og rettigheder og forpligtelser i forbindelse med registrering og behandling af sundhedsrelaterede oplysninger om deres medarbejdere.
Når virksomheder implementerer ekstraordinære tiltag for at forhindre spredningen af COVID-19, skal de være opmærksomme på, at såfremt sådanne tiltag omfatter indsamling og registrering af oplysninger om:
vil indsamlingen og behandlingen af sådanne oplysninger udgøre behandling af personoplysninger i henhold til GDPR. Såfremt oplysningerne indsamles af virksomheder stiftet i Danmark, vil GDPR gælde for indsamling og behandling af sådanne personoplysninger.
Før der indføres forebyggende foranstaltninger, skal virksomhederne vurdere, hvorvidt sådanne foranstaltninger, såsom screening, er i overensstemmelse med GDPR.
I vejledningen angiver Datatilsynet, at i det omfang virksomhederne alene registrerer oplysninger om, hvorvidt en person har opholdt sig på bestemte destinationer inden for en begrænset periode, vil sådanne oplysninger ikke blive anset for værende personfølsomme oplysninger (eller særlige kategorier af personoplysninger som angivet i GDPR, artikel 9). Dermed kan virksomheder behandle sådanne oplysninger for at forfølge en legitim interesse, som angivet i GDPR, artikel 6, stk. 1, (f).
Forudsat at en virksomhed aktivt iværksætter indsamlingen af oplysninger fra medarbejderne, skal virksomheden sikre, at medarbejderne oplyses om en sådan indsamling og behandling af deres personoplysninger til et specifikt formål og i den forbindelse har overholdt GDPR, artikel 13. Mange selskaber har allerede underrettet medarbejderne om indsamlingen og behandlingen af oplysninger, idet dette er standard procedure på arbejdspladser; eksempelvis når sygdom registreres for at administrere interne ressourcer. Der vil dog generelt kræves meddelelse, såfremt oplysninger om specifikke destinationer indsamles, idet dette vil udgøre behandling af nye personoplysninger til et nyt formål.
Såfremt virksomheder screener personer ved at indsamle oplysninger om personernes sundhed, f.eks. ved at tage deres temperatur eller ved specifikt at angive, at en person er smittet med COVID-19, vil dette udgøre behandling af personfølsomme oplysninger (eller særlige kategorier af personoplysninger som defineret i GDPR). Behandlingen af personfølsomme oplysninger kræver generelt personens samtykke (såfremt et sådant samtykke frit kan indhentes), medmindre en af de øvrige undtagelser angivet i GDPR, artikel .9, finder anvendelse.
For at sikre forvaltningen af interne ressourcer og personale, kan virksomheder have behov for at føre logbog over medarbejdere, der er i karantæne eller er smittet med COVID-19. Såfremt der føres logbog over medarbejdere, der er i karantæne og/eller er smittet med COVID-19, kræver det, at man skal kende den specifikke sygdom for at kunne udføre forvaltningen. Derudover angiver Datatilsynets vejledning, at det i visse tilfælde kan være muligt for en arbejdsgiver at registrere og videregive oplysninger om, at en medarbejder har fået COVID-19. Datatilsynet nævner som eksempel, at det er nødvendigt for ledelsen og kollegaer at være i stand til at tage de nødvendige forholdsregler. Datatilsynet gør det dog også klart, at retten til at registrere og videregive sundhedsoplysninger er underlagt følgende regler:
Såfremt virksomheder vurderer, at de ikke kan retfærdiggøre registreringen og/eller videregivelsen med nogen af de ovenstående overvejelser, vil virksomheden ikke overholde GDPR, såfremt de registrerer, at en medarbejder er smittet med COVID-19 eller er i karantæne på grund af COVID-19.
Ud over de generelle principper angivet ovenfor, skal virksomheden også have et lovmæssigt grundlag for at indsamle og behandle sundhedsoplysningerne.
Såfremt screeningen foregår på medarbejdere, vil behandlingen af disse oplysninger være tilladt, såfremt behandlingen er nødvendig for at overholde den dataansvarliges arbejdsretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret (GDPR, artikel 9, stk. 2, (b)). I Danmark er arbejdsgiverens ret til at indføre kontrolforanstaltninger reguleret i arbejdsgiverens ledelsesret og er kodificeret i Aftale om kontrolforanstaltninger af 27. oktober 2006 mellem det tidligere LO og DA. Kontrolforanstaltningerne skal være relevante og forholdsmæssige for at være lovlige. Medarbejderinddragelse er afgørende, når der indføres kontrolforanstaltninger, og vi anbefaler, at arbejdsgiveren i virksomheder med samarbejdsudvalg, inddrager samarbejdsudvalget. I henhold til Aftale om kontrolforanstaltninger mellem LO og DA, kan kontrolforanstaltninger alene indføres med 6 ugers varsel, medmindre der er tvingende grunde der tilsiger omgående handling. Et generelt ønske om at være agtpågivende udgør ikke en tvingende grund, idet dette som minimum vil kræve en rimelig mistanke om, at en medarbejder eksempelvis møder syg op på arbejde. I det omfang screeningforanstaltninger er forholdsmæssige og i øvrigt overholder kravene til indførelsen af kontrolforanstaltninger, bør det bemærkes, at screening i form af måling af medarbejdernes temperatur kun i helt ekstraordinære tilfælde vil blive accepteret som en forholdsmæssig foranstaltning.
En anden undtagelse i GDPR, artikel 9(2), er punkt (i), der angiver, at behandling ikke er forbudt, såfremt den er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes nationale ret. I Danmark har virksomhederne ikke specifikke rettigheder til at indsamle og behandle personlige oplysninger med det formål, der er angivet i GDPR, artikel 9, stk. 2, (i). Derfor kan danske virksomheder ikke anvende denne undtagelse.
I det omfang, at screeningforanstaltninger ikke kan indføres på baggrund af arbejdsgiverens ret til at indføre kontrolforanstaltninger, skal det vurderes om samtykke, som angivet i GDPR, artikel 9, stk. 2, (a), frit kan indhentes fra de pågældende personer. I det omfang personerne er medarbejdere i en virksomhed, der indfører screening af medarbejdernes sundhedstilstand, vil et sådant samtykke ikke anses for værende frit afgivet set i lyset af arbejdsgiver-/medarbejderforholdet. Sandsynligvis vil virksomheder indføre screeningforanstaltninger baseret på samtykke fra andre tredjeparter. Sådanne screeningtiltag vil dog sandsynligvis ikke være i overensstemmelse med de generelle principper i GDPR, idet behandlingen af sådanne sundhedsoplysninger ikke vil blive anset for værende forholdsmæssig.
Danske arbejdsgivere har en ledelsesret overfor medarbejderne og kan således strukturere arbejdsgange og indføre kontrolforanstaltninger, forudsat at foranstaltningerne er rimelige, relevante og forholdsmæssige. Arbejdsgiveren kan generelt indføre relevante foranstaltninger for at forhindre sygdomsspredning, herunder indføre restriktioner for deltagelse i forretningsrejser og -møder, under henvisning til ledelsesretten. En arbejdsgiver kan generelt ikke begrænse en medarbejders fritid eller bestemme hvilke feriedestinationer medarbejderen rejser til. En arbejdsgiver kan dog vælge at indføre restriktioner på eksempelvis adgang til faciliteter, såfremt medarbejdere har rejst til destinationer i et rødt område.
Arbejdsgiveren kan pålægge medarbejderen at afholde sig fra at komme på arbejde, såfremt denne potentielt har været udsat for smitte. Såfremt arbejdsgiveren pålægger en medarbejder ikke at komme på arbejde, skal arbejdsgiveren i de fleste tilfælde betale løn, selvom medarbejderen er ude af stand til at arbejde. Om muligt, kan arbejdsgiveren pålægge medarbejderen at arbejde hjemmefra.
Såfremt en medarbejder er sat i karantæne af myndighederne eller er i frivillig isolation på grund af anbefalinger fra myndighederne, vil dette anses for værende lovligt fravær, hvilket vil sige, at medarbejderen ikke misligholder sin ansættelsesaftale ved at være fraværende. Såfremt medarbejderne ikke er syge, kan de, efter omstændighederne, potentielt være uberettigede til at modtage løn, og fraværet kan anses for ferie eller frihed for medarbejdernes egen regning. Beskæftigelsesministeriet har meddelt, at ministeriet anser karantæne beordret af myndighederne for sygdom, og dermed er funktionærer berettiget til løn, selvom de ikke er syge. Funktionærer, som er syge, er juridisk set berettigede til at få løn under hele deres fravær på grund af sygdom.
I overensstemmelse med Datatilsynets vejledning, kan virksomheder indføre procedurer for at dokumentere, hvorvidt medarbejdere har besøgt destinationer, hvor der er konstateret Coronavirus. I henhold til dansk ret og GDPR kan virksomheder dog ikke indføre screeningforanstaltninger, der omfatter behandling af sundhedsoplysninger. Derudover anbefaler vi, at arbejdsgivere, når de overvejer, hvorvidt de skal betale løn til medarbejdere i frivillig isolation eller ej, overvejer risikoen for, at medarbejderen kan vælge at skjule oplysninger, som kan føre til at de sættes i isolation, og i stedet vælger at komme på arbejde, såfremt de ikke får løn, når de har fravær på grund af karantæne.
Læs Datatilsynets vejledning her.