Vanliga frågor om coronaviruset och dataskydd

Hälsouppgifter syftar till uppgifter som beskriver personens hälsotillstånd, sjukdom, funktionshinder eller vårdåtgärder.

Hälsouppgifterna ingår särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter kräver särskilt starkt skydd.

• Uppgiften om att en person har blivit smittad av coronaviruset är en hälsouppgift.
• Uppgiften om att en person har återvänt från ett riskområde är inte en hälsouppgift.
• Uppgiften om att en person hålls i karantän (utan detaljer om orsaken) är inte en hälsouppgift.

Alla ovan nämnda uppgifter är emellertid personuppgifter och behandlingen av dem omfattas av dataskyddslagstiftningen.

På behandlingen av arbetstagares personuppgifter tillämpas EU:s allmänna dataskyddsförordning och lagen om integritetsskydd i arbetslivet (Finlex). Lagen om integritetsskydd i arbetslivet innehåller särskilda bestämmelser om relevanskravet som gäller för behandlingen av arbetstagares personuppgifter samt behandlingen av hälsouppgifter. Även lagen om smittsamma sjukdomar och annan lagstiftning om arbetarskydd kan tillämpas.

Mer information om att behandla personuppgifter för olika kategorier av personuppgifter

Anonyma uppgifter är uppgifter ur vilka enskilda personer inte kan identifieras. Om uppgifterna är anonyma, tillämpas dataskyddslagstiftningen inte på behandlingen och publiceringen av uppgifterna. Identifieringen måste förhindras oåterkalleligt. Uppgifterna är fortfarande identifierbara, om det till exempel är möjligt att sluta sig till vem det är frågan om genom att kombinera dem med andra uppgifter. Anonymiserade uppgifter på statistiknivå får offentliggöras.

Patientdata är uppgifter som uppkommer i samband med behandling inom hälso- och sjukvården och de antecknas i journalhandlingar. Bestämmelser om sekretess för och utlämnande av dem, även angående avlidna personer, finns i 13 § i lagen om patientens ställning och rättigheter (patientlagen 785/1992). Dataskyddsförordningen (2016/679) tillämpas inte på personuppgifter om avlidna personer.

En person som blivit smittad kan på eget initiativ berätta för andra, t.ex. taxichaufförer, om sin coronavirussmitta. Uppgiften kan också ges om den efterfrågas. Om den som ställer frågan inte sparar uppgiften, tillämpas dataskyddslagstiftningen inte på situationen. Den som ställer frågan får inte göra sig skyldig till diskriminering.

Till exempel i Sverige ska de som insjuknat i en allmänfarlig smittsam sjukdom berätta om sin smitta för dem som löper risk att bli smittade på grund av närkontakt. I Finland har smittade däremot inte motsvarande skyldighet. Enligt lagen om smittsamma sjukdomar är personen skyldig att informera läkaren som undersöker saken om smittan. Läkaren ska informeras om personens uppfattning om smittvägen, tidpunkten och platsen för smittan samt namnen på de personer som kan ha varit smittkälla eller som kan ha blivit smittade.

Om en anställd inom organisationen konstateras ha blivit smittad av coronaviruset får arbetsgivaren som regel inte nämna arbetstagaren i fråga. Arbetsgivaren kan informera andra anställda på ett allmänt om smittan eller möjliga smittan och råda dem att arbeta hemifrån.

Arbetstagarens hälsouppgifter får endast behandlas av de personer i vars arbetsuppgifter det ingår. Arbetsgivaren ska utse dessa personer på förhand eller definiera uppgifterna som innebär behandling av hälsouppgifter. Personerna som behandlar hälsouppgifter har tystnadsplikt.

Mer information om behandlingen av arbetstagarens hälsouppgifter

Arbetsgivaren har tystnadsplikt angående arbetstagarens hälsouppgifter. Vid behov kan arbetsgivaren berätta på allmän nivå i enlighet med organisationens praxis att den anställda är förhindrad att sköta sina arbetsuppgifter. Om en anställd inom organisationen blir smittad av coronaviruset eller en anställd hålls i karantän får arbetsgivaren som regel inte nämna arbetstagaren i fråga.

Mer information om behandlingen av arbetstagarens hälsouppgifter

Arbetarskyddslag förpliktar arbetsgivaren att se till att arbetsplatsen är säker. Bestämmelser om arbetsgivarens skyldighet att med stöd av lagen ordna granskningar och tester av hälsotillstånd finns i bl.a. företagshälsovårdslagen. Även frivilliga hälsokontroller kan ordnas.

Enligt lagen om integritetsskydd i arbetslivet ska yrkesutbildade personer inom hälso- och sjukvården, personer med behörig laboratorieutbildning och hälso- och sjukvårdstjänster anlitas så som föreskrivs i hälso- och sjukvårdslagstiftningen för utförande av kontroller och test som gäller arbetstagares hälsa samt för provtagningar.

Hälsokontrollen ska utföras av en läkare eller en annan yrkesutbildad person inom hälso- och sjukvården som fått behörig utbildning under övervakning av läkare. Som en del av kontrollen kan man ta nödvändiga prover och utföra andra undersökningar, som inte medför betydande olägenhet för den som undersöks. Arbetstagaren har rätt att gå till hälsokontroll eller undersökningar under arbetstid.

Enligt lagen om smittsamma sjukdomar kan regionförvaltningsverket förordna om hälsokontroll av personer som vistas på någon ort inom dess verksamhetsområde eller på vissa arbetsplatser, i vissa inrättningar, i färdmedel eller på liknande ställen, om undersökningen behövs för förhindrande av att en allmänfarlig smittsam sjukdom sprids. Det är frivilligt att delta i hälsokontrollen.

Lagstiftningen begränsar inte diskussionen om coronavaccin. Arbetstagaren får, om han eller hon önskar, själv berätta om sin coronavaccination, men kan dock inte åläggas att berätta om coronavaccinuppgifterna.  

Trots att dataskyddslagstiftningen inte begränsar muntliga samtal, bör man på arbetsplatsen genom olika arrangemang beakta behov som gäller arbetstagarens privatliv, som möjligheten till konfidentiella samtal. På samtalen tillämpas bestämmelserna om tystnadsplikt.

Läs mer om behandlingen av coronavaccinationsuppgifter i frågan ”Är uppgiften om taget coronavaccin en hälsouppgift? Får arbetsgivaren behandla arbetstagarnas coronavaccinationsuppgifter?” nedan.

En hälsouppgift beskriver en persons hälsotillstånd. Hälsouppgifter är alla uppgifter om till exempel sjukdomar, sjukdomsrisk eller givna behandlingar, oavsett från vilken källa uppgifterna har fåtts. 

Uppgiften om att ett coronavaccin fåtts är en hälsouppgift. Exempel på användningsändamål för coronavaccinationsuppgiften är behandling av vaccinationsuppgiften i samband med en behandlingsåtgärd, för att utreda personens hälsotillstånd eller för att bedöma hans eller hennes sjukdomsrisk. Till exempel är ett intyg över coronavaccination en hälsouppgift.

Hälsouppgifter hör till de särskilda kategorier av personuppgifter som definieras i dataskyddsförordningen. Behandlingen av uppgifter om arbetstagarens hälsotillstånd ska vara ha direkt relevans med för anställningsförhållandet. Arbetsgivaren ska noggrant överväga om relevanskravet uppfylls. Undantag från relevanskravet får inte göras med arbetstagarens samtycke.

Arbetsgivaren får behandla uppgifter om arbetstagarens hälsotillstånd om det är nödvändigt för utbetalning av lön för sjukdomstid eller därmed jämställbara förmåner i anslutning till hälsotillståndet eller för utredning av om det finns grundad anledning till frånvaro från arbetet. Det är också tillåtet att behandla uppgifter om hälsotillstånd om arbetstagaren uttryckligen önskar att hans eller hennes arbetsförmåga utreds på basis av uppgifterna om hälsotillstånd. 

Arbetsgivaren har dessutom rätt att behandla uppgifter om arbetstagarens hälsotillstånd i sådana situationer och i en sådan omfattning som bestäms särskilt någon annanstans i lag.

I andra situationer än de som beskrivs ovan kan arbetsgivaren inte ålägga arbetstagaren att lämna uppgifter om sitt hälsotillstånd. Personer som behandlar uppgifter om hälsotillstånd har dessutom tystnadsplikt och de får inte röja uppgifter om arbetstagarens hälsotillstånd till utomstående.

Arbetsgivaren kan be företagshälsovården om statistisk information om vaccinationstäckningen bland arbetstagarna på arbetsplatsen.

Läs också svaret på frågan ”Får arbetsgivaren fråga om arbetstagarnas coronavaccinationsuppgifter?”

Mer information om behandling av arbetstagarens hälsouppgifter

Mer information behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter

På behandlingen av arbetssökandes personuppgifter tillämpas förutom EU:s allmänna dataskyddsförordning även i tillämpliga delar lagen om integritetsskydd i arbetslivet  (arbetslivets dataskyddslag).

Uppgifter om arbetssökandens hälsotillstånd hör till de särskilda kategorierna av personuppgifter som fastställs i dataskyddsförordningen och vars behandling ska ha direkt relevans för anställningsförhållandet. Arbetsgivaren ska noggrant överväga om relevanskravet uppfylls. Undantag från relevanskravet får inte göras med arbetstagarens samtycke.

Arbetsgivaren är skyldig att underrätta arbetssökanden om på vilket sätt den efterfrågade personuppgiften har direkt relevans för anställningsförhållandet. Om frågan inte har direkt relevans för anställningsförhållandet, får arbetssökanden låta bli att svara på den eller ge ett bristfälligt svar. Givandet av ett bristfälligt eller ofullständigt svar får inte medföra några negativa konsekvenser för arbetssökanden.

Läs också svaret på frågan ”Får arbetsgivaren fråga om arbetstagarnas coronavaccinationsuppgifter?”

Mer information om behandling av arbetstagarens hälsouppgifter

Tillhörigheten till coronavirussjukdomens riskgrupp är en hälsouppgift om tillhörigheten behandlas för att bedöma hälsotillstånd (huruvida arbetstagaren hör till en riskgrupp på grund av bakomliggande sjukdomar). Uppgiften om hälsotillståndet får inte kommuniceras till utomstående utan arbetstagarens uttryckliga samtycke eller annan laglig grund. Arbetsgivaren har tystnadsplikt angående arbetstagarens hälsouppgifter.

Man kan höra till en riskgrupp också på grund av ålder. Uppgiften om arbetstagarens ålder är inte en uppgift om hälsotillstånd.

Vid behov kan arbetsgivaren på en allmän nivå uttrycka till en samarbetspartner, i syfte att skydda arbetstagarens hälsa, att arbetstagaren är förhindrad att sköta sina arbetsuppgifter.

Arbetsgivaren är enligt myndigheternas anvisningar och arbetarskyddslagen skyldig att vid behov hänvisa en arbetstagare som hör till en riskgrupp till företagshälsovården för riskbedömning i syfte att omorganisera arbetet. Uppgifter om hälsotillstånd kan behandlas om arbetstagaren specifikt önskar att arbetsförmågan utreds utifrån uppgifter relaterade till hälsotillståndet. På grund av rättigheterna och skyldigheterna som anställningsförhållandet innebär, tillämpas på frågan en behandlingsgrund i enlighet med lagen om dataskydd i arbetslivet (Finlex). Ett separat och uttryckligt samtycke behövs inte.

Angående omplacering av personer i riskgrupper ska man i arbetsplatsens interna kommunikation ta till hänsyn det direkta relevanskravet och sekretess vid behandling av uppgifter om hälsotillstånd.

Den behandlande läkaren ska enligt lagen om smittsamma sjukdomar informera den läkare som i kommunen eller i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar, om han eller hon får veta att patienten är insjuknad eller har varit insjuknad i en allmänfarlig smittsam sjukdom som kan medföra fara för smitta för andra personer. Läkaren som ansvarar för smittsamma sjukdomar har i detta fall utan att uppge smittkällan informera personen i fråga om att det finns en sannolik fara för smitta.

Personen som blivit smittad kan också själv berätta för önskade parter om smittan.

Dataskyddsregleringen tillämpas på uppgifter om virusinfektion eller exponering för viruset som antecknats i journalhandlingar. Om en sådan uppgift lämnas ut från hälso- och sjukvården till exempel till patientens anhöriga, är det fråga om utlämning av uppgifter som ingår i journalhandlingar till utomstående. Det är möjligt att lämna ut uppgifter som ingår i journalhandlingar på de grunder som föreskrivs i 13 § i lagen om patientens ställning och rättigheter (patientlagen).

Uppgifter som ingår i journalhandlingar får lämnas till utomstående med patientens skriftliga samtycke. Med skriftligt samtycke från patientens lagliga företrädare får uppgifter lämnas ut, om patienten inte har förutsättningar att bedöma betydelsen av ett samtycke. Dessutom får uppgifter om patientens person och hälsotillstånd lämnas till en nära anhörig till patienten eller någon annan patienten närstående då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta. Detta måste bedömas från fall till fall.

Om en patient på grund av mental störning eller psykisk utvecklingsstörning eller av någon annan orsak inte kan fatta beslut om vården eller behandlingen, ska hans lagliga företrädare, en nära anhörig eller någon annan närstående person höras före ett viktigt vårdbeslut i avsikt att utreda hurdan vård som bäst motsvarar patientens vilja. I detta fall ska denna persons samtycke inhämtas för vården. I en sådan situation har en patients nära anhörig rätt att få sådana uppgifter om patientens hälsotillstånd som behövs för att personen i fråga ska kunna höras och att samtycke ska kunna ges.

Hälso- och sjukvårdsorganisationen kan oavsett det ovan nämnda ge allmän information om till exempel besöksarrangemang, beredskap för COVID-19-epidemin eller åtgärder som anknyter till hantering av epidemin.

Dataskyddsregleringen tillämpas på uppgifter om virusinfektion eller exponering för viruset som antecknats i socialvårdens klientuppgifter. Om en sådan uppgift lämnas exempelvis till en anhörig till klienten, är det frågan om utlämning av klientuppgifter inom socialvården. I detta fall ska 14–16 § i lagen om klientens ställning och rättigheter inom socialvården (socialvårdens klientlag) följas i ärendet.

Enligt 16 i socialvårdens klientlag får uppgifter ur en sekretessbelagd handling lämnas ut med klientens uttryckliga samtycke eller så som särskilt bestäms i lag. Med ett samtycke från klientens lagliga företrädare får uppgifter lämnas ut, om klienten inte har förutsättningar att bedöma betydelsen av ett samtycke.                    

I 9 § i socialvårdens klientlag föreskrivs om självbestämmanderätt i specialsituationer. I en situation enligt paragrafen ska klientens vilja utredas i samråd med klientens lagliga företrädare, en anhörig eller någon annan närstående, när klienten inte ensam kan delta i och påverka planeringen och genomförandet av de tjänster som tillhandahålls klienten eller de andra åtgärder som anknyter till den socialvård som ges klienten.  Även i detta fall bör det observeras att uppgifter inte ens i en specialsituation som identifieras i denna lag får lämnas ut till anhöriga, om de inte uttryckligen hänför sig till anordnandet av de socialvårdstjänster för denna enskilda klient. Dessutom ska klientens förmåga att själv fatta beslut i saken vara väsentligt nedsatt för att paragrafen ska tillämpas. Den instans som ansvarar för socialvårdstjänster fastställer huruvida klientens situation uppfyller kriterierna enligt 9 § i socialvårdens klientlag.

Precis som i fråga om hälso- och sjukvårdsorganisationer kan även socialvården ge allmän information om till exempel besöksarrangemang, beredskap för COVID-19-epidemin eller åtgärder som anknyter till hantering av epidemin.

Enligt dataombudsmannens syn kan klientuppgifter användas för kartläggning, när kartläggningsuppgiften kan anses höra till uppgifterna för verksamhetsenheten inom hälso- och sjukvården och målet är att bedöma en persons vårdbehov.

Om personens önskan eller behov av att få tjänster som andra parter tillhandahåller framgår under kontakten, kan uppgifterna förmedlas till dessa parter med den berörda personens samtycke. I vissa fall kan det också vara möjligt att förmedla uppgiften med stöd av lag.

Behandlingen av personuppgifter som gäller kartläggningen ska planeras på förhand (Inbyggt dataskydd och dataskydd som standard enligt artikel 25 i EU:s allmänna dataskyddsförordning). Det bör särskilt säkerställas att de personer som deltar i kartläggningsuppgifterna beaktar omständigheter som gäller sekretess och uppgiftsminimering i sin verksamhet.

En organisation kan göra sådana avgöranden även under en pandemi. Pandemin är dock inte en grund för att låta bli att iaktta dataskyddsregleringen, utan den ska beaktas också under exceptionella förhållanden, då avgöranden som gäller behandling av personuppgifter görs.

När det gäller det valda medlet ska man fästa särskild vikt vid datasäkerheten, för att förhindra att uppgifterna hamnar hos utomstående. Enligt artikel 32 i EU:s allmänna dataskyddsförordning ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som gäller fysiska personers rättigheter och friheter.

Den personuppgiftsansvarige ska bedöma huruvida en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen ska göras om införandet av det nya kommunikationsmedlet.

Det finns skäl att dokumentera de åtgärder som vidtagits och avgöranden som gjorts för att fullgöra ansvarsskyldigheten.

EU:s allmänna dataskyddsförordning fastställer att ett dataskyddsombud inte kan sägas upp på grund av att hen har skött sina uppgifter. Dataskyddsförordningen innehåller inte särskilda bestämmelser om permitteringar. Därför tillämpas arbetsrättslig lagstiftning som regel på frågor som gäller permitteringar.

Om den allmänna dataskyddsförordningen kräver att organisationen utser ett dataskyddsombud, ska man iaktta skyldigheten även till exempel i en situation där personal permitteras.
Man kan inte göra undantag från kriterierna som den allmänna dataskyddsförordningen ställer på den som utnämns till dataskyddsombud i exempelvis permitteringssituationer.

Dataskyddsombudet ska ha kunskaper inom dataskyddslagstiftningen och beredskap att sköta uppgifterna som har direkt fastställts i förordningen. I bedömningen kan organisationen vid behov stöda sig på sina tidigare beslut om hur dataskyddsombudets vikariat har ordnats under semestertider på ett sätt som uppfyller kraven i dataskyddsförordningen.

Dataskyddsombudet är en intern expert på dataskydd inom organisationen, som följer upp behandlingen av personuppgifter inom organisationen och stöder och hjälper ledningen och personalen följa dataskyddslagstiftningen. I detta sammanhang uppmärksammar dataombudsmannens byrå att ett antal frågor rörande skyddet av personuppgifter har dykt upp under coronasituationen. Dataskyddsombudet har viktig kompetens för att känna igen dessa situationer och för att iaktta dataskyddslagstiftningen.

En del av sjukvårdsdistrikten har rekommenderat restauranger och evenemangsarrangörer att samla in kundernas kontaktuppgifter för att vid behov kunna använda uppgifterna för spårning av coronavirussmitta och exponering för coronaviruset.

Om du samlar in uppgifter, var särskilt noga med följande.

1. Säkerställ behandlingsgrunden och lagenligheten av samtycket

Det ska alltid finnas en grund för behandlingen av personuppgifter. En myndighetsrekommendation i sig är inte en grund för behandlingen av personuppgifter.

I Finland har företagen inte en lagstadgad skyldighet att samla in kontaktuppgifter för smittspårning. Det är dock möjligt att samla in uppgifter utifrån den registrerades samtycke. Det innebär att kunden själv får bestämma om han eller hon vill ge sina uppgifter till restaurangen eller arrangören för att spåra exponering för coronaviruset.

Samtycket måste vara frivilligt, identifierat, medvetet och entydigt. Man måste tydligt berätta för kunden för vilket ändamål uppgifterna samlas. Kunden har också rätt att vägra ge sina uppgifter. Att ge uppgifter får inte vara en förutsättning för till exempel att komma in i en restaurang.

Mer information om behandlingsgrunder
Mer information om att begära samtycke från den registrerade

2. Begränsa användningsändamålet för uppgifterna

Uppgifterna får endast användas för att spåra smittkedjor, inte till exempel för marknadsföring eller annan kundkommunikation.

Mer information om att begränsa användningsändamål

3. Minimera mängden uppgifter som samlas in

Det är endast tillåtet att samla in sådana uppgifter som är nödvändiga för att spåra smitta. Man kan till exempel fråga kunden om namn och telefonnummer. Det kan också räcka med en kombination av en kontaktuppgift och alias för att spåra smittkedjor.

Mer information om uppgiftsminimering

4. Definiera lagringstiden av uppgifter

Det är endast tillåtet att behandla uppgifter så länge som det är nödvändigt för att fastställa smittkedjor. Till exempel i Coronablinkern lagras uppgifterna i 21 dagar, sedan raderas uppgifterna. Uppgifterna ska raderas noggrant när de inte längre behövs.

Mer information om att definiera lagringstiden för uppgifter

5. Tillgodose den registrerades rättigheter

De registrerade har många rättigheter som måste tillgodoses. Berätta tydligt och på ett omfattande sätt hur och för vilket ändamål personuppgifterna kommer att behandlas. Kunden kan också återkalla sitt samtycke för behandlingen av sina uppgifter och uppgifterna måste raderas om kunden begär det.

Mer information om den registrerades rättigheter

6. Se till att uppgifterna behandlas på ett säkert sätt

Endast de personer vars arbetsuppgifter omfattar behandling av personuppgifter får komma åt uppgifterna.

Kunderna får inte instrueras att lämna sina kontaktuppgifter på ett sådant sätt som gör det möjligt för andra kunder att se uppgifterna.

7. Beskriv rollerna för behandlingen av personuppgifter

Finns det någon annan aktör som behandlar uppgifter för restaurangens eller evenemangsarrangörens räkning, till exempel via en app? I så fall måste man upprätta ett behandlingsavtal.

Mer information om personuppgiftsbiträden
Mer information om ett personuppgiftsbiträdes skyldigheter