Koronasertifikat – informasjon til virksomheter

Personvernrådet EDPB har også kommet med en uttalelse om det foreslåtte koronasertifikatet for EU. I uttalelsen legges det vekt på at sertifikatet må være nødvendig og forholdsmessig samt at formålet må være klart angitt i loven. Dersom sertifikatet skal brukes andre steder enn ved grensene, må dette ha et eget behandlingsgrunnlag i nasjonal lovgivning.

Koronasertifikatet på høring

Regjeringen la frem et forslag om å etablere hjemler for et koronasertifikat som skal være et system for verifisert dokumentasjon av vaksinasjonsstatus, immunitet etter gjennomgått koronasykdom og testresultat. Det er fortsatt ikke avklart hvor omfattende bruken av sertifikatet vil bli og dermed hvilke bruksområder som vil bli nærmere regulert i forskrift.

Vi har i høringssvaret vårt spilt inn at det bør eksplisitt reguleres når og om arbeidsgivere kan kreve å se koronapass, for å ivareta personvernet og sikre forutsigbarhet for både arbeidsgivere og arbeidstakere. Vi har spilt inn at forskriftene som regulerer dette også bør sendes på høring.

Koronasertifikat og personvernregelverket

Dersom virksomheten din vurderer å behandle opplysninger om arbeidstakernes vaksinestatus, må du forholde deg til rammene i personvernregelverket.

Personvernet skal ikke stå i veien for gode løsninger for å bekjempe pandemien. Det er likevel viktig å være oppmerksom på at behandlingen av personopplysninger, for eksempel om vaksinestatus, må respektere personvernprinsippene.

Krav om rettslig grunnlag

For å kunne behandle opplysninger om noen er vaksinert eller immune mot koronasykdom må man ha et rettslig grunnlag (personvernforordningen artikkel 6).

I høringsforslaget om koronasertifikatet skriver departementet at «de foreslåtte forordningene om koronasertifikat vil gi rettslig grunnlag for behandling av personopplysninger som er nødvendig for utstedelse og verifikasjon av koronasertifikater for å lette fri bevegelighet i EØS. For andre bruksområder enn det forordningen om koronasertifikat regulerer, må rettsgrunnlag for behandlingen av personopplysninger sikres gjennom nasjonale regler. Rettsgrunnlaget vil da være de nærmere reglene som åpner for og regulerer bruk av sertifikatet innenlands».

Disse uttalelsene peker mot at man må vurdere om det finnes et rettslig grunnlag i nasjonal rett for å ta i bruk koronasertifikatet, og at bruken kan bli nærmere regulert dersom det mangler slike grunnlag.

Formålsbegrensning

Det er også viktig å huske på at opplysninger ikke kan brukes til andre formål enn det de er samlet inn for. Dersom man har rettslig grunnlag i nasjonal rett for å behandle opplysninger om koronastatus hos en ansatt, for eksempel fordi vedkommende skal reise inn og ut av EØS uten å havne i karantene, er det ikke gitt at man kan bruke disse opplysningene til andre formål enn akkurat dette.

Er vaksinestatus en «særlig kategori» av personopplysninger?

Helseopplysninger er en særlig kategori av personopplysninger, og det stilles ekstra strenge krav til rettslig grunnlag for denne typen opplysninger. Det er viktig å huske på at ansattes koronastatus kan være en helseopplysning. Også det at en ung person som ikke er helsepersonell har fått vaksine, kan være en helseopplysning fordi det indikerer at vedkommende tilhører en risikogruppe og dermed har blitt prioritert i vaksinekøen.

Et krav fra arbeidsgiveren om at ansatte skal opplyse om vaksinestatus, kan være noe utfordrende uavhengig av om det regnes som en særlig kategori av personopplysninger eller ikke. Arbeidsgiveren må ha et klart rettslig grunnlag i norsk rett for å kreve opplysninger om ansattes vaksinestatus. Å basere seg på samtykke fra den ansatte, kan være problematisk ettersom den ansatte er i et skjevt maktforhold med arbeidsgiveren. Den ansattes samtykke vil derfor ofte ikke være reelt frivillig. Opplysninger om vaksinestatus og koronasykdom vil også vanligvis være helseopplysninger, slik at arbeidsgiver i tillegg må oppfylle et av unntakene i personvernforordningen artikkel 9.

Vi kommer til å følge med på om deling og krav om slike opplysninger kan anses som frivillig, og dersom det ikke anses frivillig, kan det være et spørsmål om hjemmelen for krav og lovligheten av dette. Dette kan ha sider langt utover Datatilsynets myndighetsområde, for eksempel mot spørsmål om diskriminering.

Arbeidsmiljøloven og Arbeidstilsynet

Mange av spørsmålene om en arbeidsgiver kan pålegge arbeidstakerne testing eller å ta vaksine for å komme tilbake til jobb, vil grense opp mot reglene i arbeidsmiljøloven.

Det er Arbeidstilsynet som skal kontrollere at krav i covid-19-forskriften overholdes.