Koronasertifikat – informasjon til virksomheter

Behandlingen av personopplysninger, for eksempel vaksinestatus, må være forholdsmessig, den må respektere personvernprinsippene, og ikke gå lenger enn nødvendig.

Regjeringen har lagt fram et forslag om å etablere hjemler for et koronasertifikat som skal være et system for verifisert dokumentasjon av vaksinasjonsstatus, immunitet etter gjennomgått koronasykdom og testresultat.

Det er fortsatt ikke avklart hvor omfattende bruken av sertifikatet vil bli, og dermed hvilke bruksområder som vil reguleres nærmere. Regjeringen planlegger å legge fram koronasertifikatet i slutten av juni. Saken er på høring med frist 12. mai.

Sertifikat og personvernregelverket

Dersom din virksomhet vurderer å behandle opplysninger om arbeidstakernes vaksinestatus, må du forholde deg til rammene i personvernregelverket.

Personvernet skal ikke stå i veien for gode løsninger for å bekjempe pandemien. Det er likevel viktig å være oppmerksom på at behandlingen av personopplysninger, for eksempel vaksinestatus, må være forholdsmessig, og ikke gå lenger enn nødvendig og respektere personvernprinsippene.

Krav om rettslig grunnlag

For å kunne behandle opplysninger om hvorvidt noen er vaksinert eller immune må man ha et rettslig grunnlag (personvernforordningen artikkel 6).

I høringsforslaget om koronasertifikatet skriver departementet at «de foreslåtte forordningene om koronasertifikat vil gi rettslig grunnlag for behandling av personopplysninger som er nødvendig for utstedelse og verifikasjon av koronasertifikater for å lette fri bevegelighet i EØS. For andre bruksområder enn det forordningen om koronasertifikat regulerer, må rettsgrunnlag for behandlingen av personopplysninger sikres gjennom nasjonale regler. Rettsgrunnlaget vil da være de nærmere reglene som åpner for og regulerer bruk av sertifikatet innenlands».

Disse uttalelsene peker mot at man må vurdere om det finnes et rettslig grunnlag i nasjonal rett for å ta i bruk koronasertifikatet, og at bruken kan bli nærmere regulert dersom det mangler slike grunnlag.

Formålsbegrensning

Det er også viktig å huske på at opplysninger ikke kan brukes til andre formål enn det de er samlet inn for. Dersom man har rettslig grunnlag i nasjonal rett for å behandle opplysninger om koronastatus hos en ansatt, for eksempel fordi vedkommende skal reise inn og ut av EØS uten å havne i karantene, er det ikke gitt at man kan bruke disse opplysningene til andre formål enn akkurat dette.

Er vaksinestatus en «særlig kategori» av personopplysninger?

Helseopplysninger er en særlig kategori av personopplysninger, og det stilles ekstra strenge krav til behandlingsgrunnlag for denne typen opplysninger. Det er viktig å huske på at enkeltpersoners koronastatus kan omfattes av denne kategorien. Hvis en ung person som ikke er helsepersonell har fått vaksine, kan det også være sensitivt fordi det indikerer at vedkommende tilhører en risikogruppe og dermed har blitt prioritert i vaksinekøen.

Opplysninger om vaksinestatus kan være en helseopplysning, men krav om å oppgi disse opplysningene kan være noe utfordrende uavhengig av om det regnes som «sensitive opplysninger» eller ikke. Vi kommer til å følge med på om deling og krav om slike opplysninger kan anses som frivillig, og dersom det ikke anses frivillig, kan det være et spørsmål om hjemmelen for krav og lovligheten av dette. Dette kan ha sider langt utover Datatilsynets myndighetsområde, for eksempel spørsmål om diskriminering

Pålegg om testing?

Mange spørsmål om hvorvidt arbeidsgiver kan pålegge arbeidstakerne testing eller pålegge vaksine for å komme tilbake til jobb, vil grense opp mot reglene i arbeidsmiljøloven.

Arbeidstilsynet skal kontrollere at krav i covid-19-forskriften overholdes (arbeidstilsynet.no).

Personvernrådet EDPB har også kommet med en uttalelse om det foreslåtte koronasertifikatet for EU. I uttalelsen legges det vekt på at sertifikatet må være nødvendig og forholdsmessig, og at formålet må være klart angitt i loven. Dersom sertifikatene skal brukes andre steder enn ved grensene, må dette ha et eget behandlingsgrunnlag i nasjonal lovgivning.

Vi følger opp med mer informasjon på våre nettsider når bruken er nærmere spesifisert og formålet lovfestet.