COVID-19 og persónuvernd

14.3.2020

 

Persónuvernd, í samráði við sóttvarnalækni, hefur tekið saman helstu atriði sem máli skipta við vinnslu persónuupplýsinga í tengslum við Covid-19 á vinnustöðum. Umfjöllunin tekur einnig, eftir því sem við á, til nemenda í skólum og gesta sem koma á starfsstöðvar.

Rétt er að taka fram að eftir sem áður bera ábyrgðaraðilar vinnslu persónuupplýsinga áfram sína sjálfstæðu ábyrgð samkvæmt persónuverndarlögum og er eftirfarandi umfjöllun eingöngu til leiðbeiningar og ráðgjafar.

Persónuverndarlög standa ekki í vegi fyrir vinnslu persónuupplýsinga af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu. Engu að síður þarf að huga að tilteknum atriðum þegar unnið er með persónuupplýsingar við þessar aðstæður, sérstaklega þegar um er að ræða upplýsingar um heilsufar og aðrar viðkvæmar persónuupplýsingar. Það þarf því að vera heimild til að vinna upplýsingarnar og vinna þarf með þær samkvæmt svokölluðum meginreglum persónuverndarlaganna, t.d. með því að gæta meðalhófs í skráningu og gagnsæis gagnvart þeim sem upplýsingarnar lúta að.

Ráðstafanir sem eru innleiddar til að bregðast við Covid-19 og fela í sér vinnslu persónuupplýsinga, þ.m.t. upplýsinga um heilsufar, þurfa að vera nauðsynlegar og hóflegar. Ákvarðanir hvað þetta varðar þurfa að taka mið af upplýsingum/leiðbeiningum sem komið hafa frá heilbrigðisyfirvöldum og öðrum viðeigandi stjórnvöldum á borð við lögreglu.

Atvinnurekendur, skólastjórnendur og aðrir eru jafnframt beðnir um að beina því til þeirra sem velja sjálfir að fara í sóttkví, t.d. vegna heimkomu frá áhættusvæði, að hafa samband við sína heilsugæslustöð og tilkynna sig.

Ábyrgðaraðilar þurfa að huga að eftirfarandi við skráningu persónuupplýsinga varðandi Covid-19:

Starfsmaður/nemandi er settur í sóttkví

Nauðsynlegt kann að vera að skrá upplýsingar um sóttkví í þeim tilgangi að ábyrgðaraðili geti uppfyllt skyldur sínar um réttindi launþega eða vegna laga um aðbúnað, hollustuhætti og öryggi á vinnustöðum. Þá þurfa skólar jafnframt að hafa yfirsýn yfir fjölda nemenda og kennara sem eru fjarverandi vegna skipulags skólastarfs.

Upplýsingar um að einstaklingur sé í sóttkví teljast almennt ekki til viðkvæmra persónuupplýsinga en rétt er að gæta sérstaklega að meginreglum persónuverndarlaga um lágmörkun gagna og sanngirni.

Hvernig á að skrá upplýsingar?

Við útreikning launa, veikinda- og orlofsréttar getur verið nauðsynlegt að skrá niður tilteknar upplýsingar um ástæður fjarveru starfsmanns. Eftir sem áður þarf að gæta meðalhófs og eingöngu skrá lágmarksupplýsingar þannig að launaútreikningur sé réttur og kjarasamningsbundin réttindi séu tryggð. Hér getur einnig þurft að huga að því að setja takmörk á hversu lengi umræddar upplýsingar eru varðveittar, t.a.m. að þeim sé eytt þegar launaafgreiðslu er lokið.

Í skólastarfi kann að vera þörf á að hafa góða yfirsýn yfir fjölda nemenda og kennara sem eru fjarverandi vegna skipulagningar starfseminnar. Rétt er að gæta sérstaklega að takmörkunum á því hversu lengi upplýsingar eru varðveittar og hvernig aðgengi að þeim er háttað. 

Miðlun upplýsinga um fjarvist vegna sóttkvíar starfsmanns til annarra starfsmanna/nemenda/forráðamanna

Þær aðstæður kunna að koma upp að nauðsynlegt sé að miðla upplýsingum til annarra um fjarvist starfsmanns sem er í sóttkví. Rétt er að meta hvenær slíkt á við eftir aðstæðum hverju sinni. Forðast skal að miðla upplýsingum um nafn starfsmanns, nema slíkt sé nauðsynlegt. Þá er einnig rétt að vanda slíka miðlun til að koma í veg fyrir óþarfa hræðslu annarra starfsmanna/nemenda/forráðamanna.

Eftirfarandi er dæmi um hvernig upplýsingagjöf til starfsmanna/nemenda/forráðamanna gæti verið háttað:

XXXXX fellur niður næstu tvær vikur vegna óviðráðanlegra aðstæðna. Um er að ræða varúðarráðstöfun. Ef þörf er á að grípa til frekari ráðstafana verður slík ákvörðun tekin að höfðu samráði við sóttvarnaryfirvöld og almannavarnir og þeim sem málið varðar sérstaklega tilkynnt um það.

 

Miðlun almennra upplýsinga um að einn eða fleiri starfsmenn sé nú í sóttkví eða aðrar upplýsingar almenns eðlis falla ekki undir persónuverndarlög. Þannig er almennt heimilt að miðla slíkum tölfræðiupplýsingum, t.d. til starfsmanna/nemenda/forráðamanna og til fjölmiðla.

Þá er sóttvarnalækni heimilt að afla gagna frá öllum þeim aðilum, sem geta veitt upplýsingar þegar út brýst hópsýking eða farsótt sem ógnar heilsu manna, og vinna með þær upplýsingar að því marki sem nauðsynlegt er, sbr. bréf Persónuverndar til sóttvarnalæknis þann 26. febrúar 2020.

Starfsmaður/nemandi er greindur með Covid-19

Greinist starfsmaður eða nemandi með Covid-19 fer af stað ferli sem er á ábyrgð sóttvarnayfirvalda og almannavarna. Sérstakt rakningarteymi á vegum almannavarna rekur ferðir hins smitaða og haft er samband við þá sem þörf er á að fari í sóttkví vegna samneytis við hinn smitaða.

Heilsufarsupplýsingar teljast til viðkvæmra persónuupplýsinga. Því skulu ábyrgðaraðilar lágmarka skráningu og miðlun og skal hún takmarkast við það sem er algerlega nauðsynlegt. Tryggja þarf sérstaklega öryggi við vinnslu slíkra upplýsinga, svo sem með strangari aðgangsstýringum. Þá er rétt að huga að varðveislutíma, þ.e. eyða slíkum upplýsingum þegar þeirra ekki þörf lengur eða gera þær ópersónugreinanlegar.

Hvernig á að skrá upplýsingar?

Við útreikning launa, veikinda- og orlofsréttar getur verið nauðsynlegt að skrá niður tilteknar upplýsingar um ástæður fjarveru starfsmanns. Ef um greint Covid-19-smit er að ræða ber að skrá það á sama hátt og önnur veikindi, þ.e. er ekki er þörf á að skrá sérstaklega að um þessi tilteknu veikindi sé að ræða.

Í skólastarfi gildir slíkt hið sama, þ.e. að aðeins eru skráð veikindi en ekki af hverju þau stafa.

Upplýsingagjöf um fjarvist vegna Covid-19-sýkingar starfsmanns/nemanda til annarra starfsmanna/nemenda/forráðamanna

Forðast skal að miðla upplýsingum um nafn þess starfsmanns sem greinst hefur með COVID-19 til annarra starfsmanna/nemenda/forráðamanna, nema þegar slíkar upplýsingar eru algjörlega nauðsynlegar fyrir móttakandann. Nauðsynlegt getur þó reynst að upplýsa heilbrigðisyfirvöld um nafn starfsmannsins.

Eftirfarandi er dæmi um hvernig upplýsingagjöf til starfsmanna/nemenda/forráðamanna gæti verið háttað:

Greinst hefur staðfest smit hjá starfsmanni/nemanda. Haft verður samband/búið er að hafa samband við þá aðila sem málið varðar á vegum almannavarna eða sóttvarnaryfirvalda. Þeim hefur verið gerð grein fyrir/verður gerð grein fyrir því til hvaða ráðstafana þarf að grípa, t.d. varðandi sóttkví.

 Þá er sóttvarnalækni heimilt að afla gagna frá öllum þeim aðilum, sem geta veitt upplýsingar þegar út brýst hópsýking eða farsótt sem ógnar heilsu manna, og vinna með þær upplýsingar að því marki sem nauðsynlegt er, sbr. bréf Persónuverndar til sóttvarnalæknis þann 26. febrúar 2020.

Útfylling spurningalista um veru erlendis o.fl.

Vinnuveitendum ber skylda til að tryggja aðbúnað, hollustuhætti og öryggi á vinnustöðum. Persónuvernd leiðbeinir atvinnurekendum um að óska einungis eftir upplýsingum sem þörf er á og miða frekar við „já eða nei“-spurningar til þess að meta áhættuna og hefta útbreiðslu veirunnar. Fyrirlagning spurningalista getur bæði tekið til starfsmanna, nemenda og gesta sem koma á viðkomandi starfsstöð, allt eftir eðli þeirrar starfsemi sem um ræðir. Hér þarf fyrst og fremst að gæta að meðalhófi.

Eftirfarandi eru dæmi um „já eða nei“-spurningar:

1. Ertu að koma frá áhættusvæði? Já/Nei

2. Finnur þú fyrir einkennum Covid-19 á borð við höfuðverk, hita, beinverki og andþyngsli? – Já/Nei

3. Hefur þú umgengist einhvern sem kom nýlega frá skilgreindu áhættusvæði? – Já/Nei

Veita þarf starfsmönnum viðeigandi leiðbeiningar um hvernig sé rétt að bregðast við ef einhverjum af þessum spurningum er svarað játandi.

Ef aðstæður eða eðli vinnustaðar krefjast þess að spurt sé ítarlegri spurninga þarf að fara fram sérstakt áhættumat. Í slíku áhættumati yrði að taka mið af eðli þeirrar starfsemi sem um er að ræða, t.d. hvort ferðalög séu hluti af daglegri starfsemi, hvort viðkvæmir hópar séu staðsettir á vinnustaðnum og leiðbeiningum heilbrigðisyfirvalda.

Öllum spurningum sem varða viðeigandi ráðstafanir sem grípa þarf til vegna Covid-19 skal beina til sóttvarnalæknis.

Öryggi persónuupplýsinga í fjarvinnu

Sú ákvörðun að senda starfsfólk heim til að vinna er ein og sér ekki persónuverndarmál.

Ákvörðun um hvort rétt sé að gefa starfsmönnum möguleika á fjarvinnu, þ.e. með veitingu aðgangs að kerfum utan innra nets vinnustaðar sem innihalda persónuupplýsingar, þarf allajafna að byggjast á áhættumati, sem tekur mið af eðli þeirra upplýsinga sem starfsmenn vinna með. Því viðkvæmari eða umfangsmeiri sem upplýsingarnar eru, því strangari kröfur þarf að gera til þeirra ráðstafana sem grípa þarf til í því skyni að tryggja öryggi innri neta í viðkomandi starfsemi.

Algengasta öryggisráðstöfunin nú er að setja upp svokallaðar VPN-tengingar á vinnutölvur starfsmanna. Með vinnutölvum starfsmanna er átt við tölvur sem vinnuveitandi útvegar og eru ekki notaðar í einkaerindum. Í VPN-tengingu felst að samskipti starfsmanns við innra net eru dulkóðuð yfir Netið. Almennt hefur sú ráðstöfun þótt nægileg til að tryggja öryggi þeirra upplýsinga sem unnið er með á viðunandi hátt en Persónuvernd ítrekar að það hvort slík ráðstöfun sé nægileg þarf að byggjast á áhættumati. Eftir sem áður þarf jafnframt að tryggja að lykilorð séu sterk, vera með virkar aðgangsstýringar og brýna fyrir starfsmanni almenna öryggisvitund, s.s. að vista skjöl í skjalavistunarkerfum eða öðrum öruggum stöðum og að eyða skjölum sem hlaðið hefur verið niður á drif vinnutölvunnar þegar búið er að vinna í þeim. Í því sambandi er bent á að nauðsynlegt getur verið að setja verklagsreglur um fjarvinnu starfsmanna.

Almennt má ætla að ríkar ástæður, svo sem með tilliti til almannaöryggis og almannahagsmuna, þurfi að koma til svo starfsmenn geti farið með viðkvæm pappírsgögn út af starfsstöð vinnuveitanda. Í þeim tilvikum þarf einnig að framkvæma áhættumat og grípa til viðeigandi öryggisráðstafana, svo sem með setningu verklagsreglna um afhendingu/skil gagna til starfsmanns, hvernig öryggi gagna er tryggt á heimili o.s.frv.

Að öðru leyti er gott að hafa eftirfarandi í huga við fjarvinnu starfsmanna:

Símar og spjaldtölvur og önnur minni tæki:

• Gæta varúðar um að smærri tæki, svo sem USB-lyklar, símar, spjaldtölvur og tölvur, týnist ekki eða lendi á röngum stað
• Allur hugbúnaður sé búinn nýjustu uppfærslu
• Tæki séu notuð á öruggu svæði, t.d. þar sem ekki eru líkur á að einhver annar sjái hvað þú ert að gera í tölvunni, sérstaklega ef unnið er með viðkvæmar upplýsingar
• Notaðu virkar ráðstafanir til að stýra aðgangi, svo sem tveggja þátta auðkenningu eða sterkt lykilorð. Í sumum tilvikum þarf að nota dulkóðun til að stýra aðgangi og draga úr áhættu sé búnaði stolið eða hann týnist.
• Ef búnaði er stolið eða hann týnist þarf að gera ráðstafanir umsvifalaust til að eyða gögnum af honum.

Tölvupóstur og innri samskipti:

• Fylgdu verklagsreglum vinnustaðarins við notkun á tölvupósti.
• Notaðu vinnutölvupóstinn en ekki einkatölvupóst fyrir samskipti vegna vinnu þegar senda þarf persónuupplýsingar. Ef þú þarft nauðsynlega að nota einkapóstinn til að senda mikilvægar upplýsingar þá getur þurft að dulkóða skjöl með sterku lykilorði, ef þau innihalda persónuupplýsingar.
• Gakktu úr skugga um að þú sért að senda á réttan viðtakanda og rétt viðhengi fylgi. Jafnvel getur verið nauðsynlegt að opna viðhengið úr póstinum til að ganga úr skugga um að rétt viðhengi fylgi.
• Forðastu að eiga samskipti á samfélagsmiðlum við samstarfsmenn um viðkvæm mál. Hér þarf að fylgja verklagsreglum vinnustaðarins í hvívetna.

Skýjaþjónusta og netkerfi:

• Þegar starfsmaður vinnur fjarvinnu skal leitast við að hann vinni eingöngu á innra neti viðkomandi starfsemi og að öllum skipulagslegum ráðstöfunum sé fylgt hvað varðar þær þjónustur sem vinnustaðurinn býður upp á.

Hitamæling á starfsfólki

Það eitt og sér að hitamæla starfsfólk fellur ekki undir gildissvið persónuverndarlaga en getur varðað stjórnarskrárbundinn rétt fólks til friðhelgi einkalífs, þ.e. um að óheimilt sé að framkvæma líkamsrannsókn nema með dómsúrskurði eða lagaheimild. Tekið skal hins vegar fram að hitamæling getur farið fram með samþykki starfsmanns.

Ef niðurstöður hitamælingar eru skráðar rafrænt þarf að gæta að öllum ákvæðum persónuverndarlaga. Persónuvernd bendir vinnuveitendum á að fylgja leiðbeiningum sóttvarnalæknis hvað varðar þær sóttvarnaráðstafanir sem eðlilegt er að grípa til í því skyni að hefta útbreiðslu veirunnar, m.a. um handþvott og notkun sótthreinsiefna.

Meginreglur sem þarf að fylgja við vinnslu persónuuppl´ysinga

Rétt er að minna á að við vinnslu persónuupplýsinga vegna Covid-19 gilda að sjálfsögðu ákvæði persónuverndarlaga. Sérstaklega skal huga að meginreglum um:

Gagnsæi

Þeir sem vinna persónuupplýsingar þurfa að gæta að gagnsæi þeirra ráðstafana sem gripið er til við þessar aðstæður, m.a. hvað varðar tilgang vinnslunnar og hversu lengi upplýsingar verða varðveittar. Þá þarf einnig að fræða einstaklinga um vinnsluna á skýru og einföldu máli.

Trúnaður

Öll vinnsla persónuupplýsinga í tengslum við að hefta útbreiðslu Covid-19 verður að fara fram með þeim hætti að öryggi upplýsinga sé tryggt, sérstaklega þegar um ræðir heilsufarsupplýsingar. Nöfnum eða öðrum persónuauðkennum þeirra sem verða fyrir áhrifum vegna veirunnar á ekki að miðla til þriðju aðila nema fyrir hendi séu lögmætar ástæður.

Lágmörkun gagna

Eingöngu skal vinna með þær upplýsingar sem eru nauðsynlegar til að ná þeim tilgangi sem stefnt er að, þ.e. að hefta útbreiðslu Covid-19. Hér er nauðsynlegt að taka mið af leiðbeiningum heilbrigðisyfirvalda og hvaða upplýsingar eru þeim nauðsynlegar.

Ábyrgðarskylda

Ábyrgðaraðilar vinnslu þurfa einnig að skrásetja allar ákvarðanir sem teknar eru vegna vinnslu persónuupplýsinga í þessu samhengi. 

 

Leiðbeiningarnar hafa verið uppfærðar.