Vanliga frågor om coronaviruset och dataskydd

Hälsouppgifter syftar till uppgifter som beskriver personens hälsotillstånd, sjukdom, funktionshinder eller vårdåtgärder.

Hälsouppgifterna ingår särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter kräver särskilt starkt skydd.

• Uppgiften om att en person har blivit smittad av coronaviruset är en hälsouppgift.
• Uppgiften om att en person har återvänt från ett riskområde är inte en hälsouppgift.
• Uppgiften om att en person hålls i karantän (utan detaljer om orsaken) är inte en hälsouppgift.

Alla ovan nämnda uppgifter är emellertid personuppgifter och behandlingen av dem omfattas av dataskyddslagstiftningen.

På behandlingen av arbetstagares personuppgifter tillämpas EU:s allmänna dataskyddsförordning och lagen om integritetsskydd i arbetslivet. Lagen om integritetsskydd i arbetslivet innehåller särskilda bestämmelser om relevanskravet som gäller för behandlingen av arbetstagares personuppgifter samt behandlingen av hälsouppgifter. Även lagen om smittsamma sjukdomar och annan lagstiftning om arbetarskydd kan tillämpas.

Mer information om att behandla personuppgifter för olika kategorier av personuppgifter

Anonyma uppgifter är uppgifter ur vilka enskilda personer inte kan identifieras. Om uppgifterna är anonyma, tillämpas dataskyddslagstiftningen inte på behandlingen och publiceringen av uppgifterna. Identifieringen måste förhindras oåterkalleligt. Uppgifterna är fortfarande identifierbara, om det till exempel är möjligt att sluta sig till vem det är frågan om genom att kombinera dem med andra uppgifter. Anonymiserade uppgifter på statistiknivå får offentliggöras.

Patientdata är uppgifter som uppkommer i samband med behandling inom hälso- och sjukvården och de antecknas i journalhandlingar. Bestämmelser om sekretess för och utlämnande av dem, även angående avlidna personer, finns i 13 § i lagen om patientens ställning och rättigheter (patientlagen 785/1992). Dataskyddsförordningen (2016/679) tillämpas inte på personuppgifter om avlidna personer.

Om en anställd inom organisationen konstateras ha blivit smittad av coronaviruset får arbetsgivaren som regel inte nämna arbetstagaren i fråga. Arbetsgivaren kan informera andra anställda på ett allmänt om smittan eller möjliga smittan och råda dem att arbeta hemifrån.

Arbetstagarens hälsouppgifter får endast behandlas av de personer i vars arbetsuppgifter det ingår. Arbetsgivaren ska utse dessa personer på förhand eller definiera uppgifterna som innebär behandling av hälsouppgifter. Personerna som behandlar hälsouppgifter har tystnadsplikt.

Mer information om behandlingen av arbetstagarens hälsouppgifter

Arbetsgivaren har tystnadsplikt angående arbetstagarens hälsouppgifter. Vid behov kan arbetsgivaren berätta på allmän nivå i enlighet med organisationens praxis att den anställda är förhindrad att sköta sina arbetsuppgifter. Om en anställd inom organisationen blir smittad av coronaviruset eller en anställd hålls i karantän får arbetsgivaren som regel inte nämna arbetstagaren i fråga.

Mer information om behandlingen av arbetstagarens hälsouppgifter

Koronavirustaudin riskiryhmään kuuluminen on terveystieto, jos riskiryhmään kuulumista käsitellään terveydentilan arvioimiseksi (kuuluuko työntekijä riskiryhmään perussairauksien vuoksi). Terveydentilatietoa ei saa kertoa sivullisille ilman työntekijän nimenomaista suostumusta tai muuta lainmukaista perustetta. Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista.

Riskiryhmään voi kuulua myös iän perusteella. Tieto työntekijän iästä ei ole terveydentilatieto.

Tarvittaessa työnantaja voi ilmaista yhteistyökumppanille yleisellä tasolla, työntekijän terveyden suojaamisen tarkoituksessa, että työntekijä on estynyt hoitamasta työtehtäviään.

EU:n yleisessä tietosuoja-asetuksessa säädetään, että tietosuojavastaavaa ei saa irtisanoa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuoja-asetuksessa ei säädetä erikseen lomautuksista. Lomautuksia koskeviin kysymyksiin sovelletaan siten lähtökohtaisesti työoikeudellista sääntelyä.

Jos yleinen tietosuoja-asetus edellyttää, että organisaatio nimeää tietosuojavastaavan, velvoitteen noudattamisesta on huolehdittava myös esimerkiksi tilanteessa, jossa henkilöstöä lomautetaan.

Yleisen tietosuoja-asetuksen asettamista edellytyksistä tietosuojavastaavan tehtävään nimettävälle ei voida poiketa esimerkiksi lomautustilanteessa. Tietosuojavastaavalla on oltava asiantuntemusta tietosuojalainsäädännöstä ja valmius hoitaa hänelle suoraan asetuksessa säädettyjä tehtäviä. Organisaatio voi tarvittaessa tukeutua arvioinnissaan esimerkiksi aiempiin ratkaisuihinsa siitä, miten tietosuojavastaavan sijaisuus on järjestetty loma-aikoina niin, että se täyttää tietosuoja-asetuksen vaatimukset.

Tietosuojavastaava on organisaation sisäinen tietosuoja-asiantuntija, joka seuraa organisaationsa henkilötietojen käsittelyä sekä auttaa johtoa ja henkilöstöä noudattamaan tietosuojalainsäädäntöä. Tietosuojavaltuutetun toimisto kiinnittää tässä yhteydessä huomiota siihen, että koronatilanteessa on tullut esiin useita henkilötietojen suojaa koskevia kysymyksiä. Tietosuojavastaavalla on tärkeää asiantuntemusta näiden tilanteiden tunnistamiseksi ja tietosuojalainsäädännön noudattamiseksi.