Personvernrettslig: Kan arbeidsgiver spørre om den ansatte er vaksinert?

Til tross for at Norge den 25. september 2021 gikk over til en normal hverdag med økt beredskap, kan arbeidsgivere av ulike grunner fortsatt ha et ønske om å kontrollere sine ansattes vaksinasjonsstatus. Kan arbeidsgiver lovlig gjøre dette fra et personvernrettslig perspektiv?

I et tidligere nyhetsbrev skrev vi om arbeidsgivers adgang til å spørre om den ansatte er vaksinert fra et arbeidsrettslig ståsted. I dette nyhetsbrevet ser vi nærmere på hvilken adgang arbeidsgivere har til å samle inn og registrere informasjon om ansattes vaksinasjonsstatus fra et personvernrettslig perspektiv.

Det er igjen grunn til å understreke at disse problemstillingene har oppstått som følge av pandemien, og at det ikke foreligger rettspraksis eller andre avgjørende rettskilder med klare svar på dem. Rettstilstanden er derfor foreløpig usikker.  

Innhenting av informasjon om vaksinasjonsstatus fra et personvernrettslig perspektiv

Spørsmålet om arbeidsgiver kan innhente opplysninger om den ansattes vaksinasjonsstatus, har også en personvernrettslig side. Informasjon om vaksinasjonsstatus er en helseopplysning, som er en særlig kategori av personopplysning. Innsamling av vaksinasjonsstatus er derfor en behandling av personopplysninger etter GDPR (jf. GDPR artikkel 9 nr. 1). I praksis betyr dette at virksomheten – i tillegg til å oppfylle vilkårene for kontrolltiltak etter arbeidsmiljøloven, jf. arbeidsmiljøloven kapittel 9 – må ha et behandlingsgrunnlag (jf. GDPR artikkel 6 og 9) og overholde prinsippene etter personvernforordningen (GDPR artikkel 5).

Prinsipper for behandling av personopplysninger (GDPR artikkel 5)

Det er et vilkår for at arbeidsgiver overholder prinsippene for behandling av personopplysninger, herunder berettigede formål og dataminimering. Hva som er arbeidsgivers berettigede formål, beror på en konkret vurdering av arbeidsgivers situasjon. For eksempel vil sykehus med sårbare pasienter særlig utsatt for smitte lettere kunne argumentere for å ha et berettiget formål. Det er imidlertid ikke gitt at det berettigede formålet omfatter alle ansatte.  

Berettigede formål vil også endre seg med tiden: Det kan argumenteres med arbeidsgivers interesse i å kjenne enkeltindividers vaksinestatus er mindre nå som stadig flere er blitt vaksinert og risikobildet har endret seg, i motsetning ved tidlig under pandemien. Det er altså ikke gitt at det som er et berettiget formål i dag, er et berettiget formål om noen måneder.

Videre vil dataminimeringsprinsippet tilsi at arbeidsgiver ikke kan lagre opplysninger om den ansattes vaksinasjonsstatus over lang tid, og at opplysninger om vaksinasjonsstatus bare bør deles med en begrenset krets. Det vil være en løpende plikt for arbeidsgiver å vurdere sakligheten og nødvendigheten av behandlingen, og endringer i smittesituasjonen og andre tilgjengelige tiltak må tas med i betraktningen.

Kravet om behandlingsgrunnlag (GDPR artikkel 6)

Enhver behandling av personopplysninger krever et behandlingsgrunnlag (jf. GDPR artikkel 6).

I arbeidsforhold vil samtykke generelt være problematisk som behandlingsgrunnlag på grunn av skjevheten mellom arbeidsgiver og den ansatte (jf. GDPR-fortalens punkt 43). Et samtykke fra en ansatt i arbeidsforhold vil sjelden anses å være gitt frivillig. Dermed kreves det et annet rettslig grunnlag for å behandle informasjon om ansattes vaksinasjonsstatus.

Behandling av personopplysninger ved kartlegging av ansattes vaksinasjonsstatus må trolig derfor søkes begrunnet i at det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige (jf. GDPR artikkel 6 nr. 1 bokstav c). Som nevnt i forrige arbeidsrettstips har arbeidsgiver en rettslig forpliktelse etter arbeidsmiljøloven til å sikre et forsvarlig arbeidsmiljø i henhold til arbeidsmiljøloven kapittel 4. Dersom denne forpliktelsen ikke kan oppfylles på andre måter enn gjennom å kartlegge de ansattes vaksinasjonsstatus, vil art. 6 nr. 1 bokstav c kunne utgjøre et lovlig behandlingsgrunnlag for å samle inn og registrere informasjon om de ansattes vaksinasjonsstatus. Det kan også tenkes andre rettslige forpliktelser som gir grunnlag for behandling av personopplysninger for visse virksomhetstyper.  

Kravet for behandling av særlige kategorier av personopplysninger (GDPR artikkel 9)

Siden vaksinasjonsstatus er en helseopplysning, vil behandling av personopplysninger – foruten behandlingsgrunnlag etter GDPR artikkel 6 – i tillegg kreve behandlingsgrunnlag etter GDPR artikkel 9.

Av samme årsaker som omtalt i vurderingen av GDPR artikkel 6, vil samtykke heller ikke være et aktuelt behandlingsgrunnlag etter GDPR artikkel 9.

Et mulig behandlingsgrunnlag etter GDPR artikkel 9 er at det er nødvendig for den behandlingsansvarlige (arbeidsgiver) å oppfylle sine forpliktelser på området arbeidsrett. Nødvendighetsvurderingen på dette punkt vil trolig på sentrale punkter være sammenfallende med vurderingen som skal foretas i henhold til arbeidsmiljølovens bestemmelser, jf. ovenfor. Vi understreker at terskelen for at behandlingen skal være "nødvendig", er høy, og det forutsettes at plikten til å sikre et forsvarlig arbeidsmiljø ikke kan overholdes på mindre inngripende måter. Årsaken til ønsket om å innhente opplysninger om vaksinasjonsstatus på arbeidsplassen må derfor vurderes nøye. Det samme gjelder spørsmålet om det finnes mindre inngripende alternativer for å sikre et forsvarlig arbeidsmiljø.

Særlig om koronasertifikat

Koronasertifikat er et system for sikker og verifisert dokumentasjon av vaksinasjonsstatus. Sertifikatet bygger på EUs rammeverk for digitale sertifikater. Koronasertifikat er ment å gi individene tilgang til lettelser i gjeldende koronarestriksjoner i henhold til de til enhver tid gjeldende regler. Bruk av koronasertifikat skal opphøre når smittenivå og vaksinering tilsier at det ikke lenger er behov for restriksjoner. Det er ment å være frivillig om den enkelte vil laste ned og bruke koronasertifikatet. Det er altså ikke noe krav om å ha et koronasertifikat. Det kan heller ikke kreves at noen fremviser koronasertifikat med mindre det fremgår av lov eller forskrift. Dette gjelder også for arbeidsgivere. Per i dag finnes det ingen klar hjemmel for arbeidsgiveres bruk av koronasertifikat. Rettstilstanden er derfor usikker med hensyn til arbeidsgiveres adgang til å be om slike sertifikater fra ansatte.

Dialog er løsningen

Det vil i hovedsak være arbeidsgivers rettigheter og plikter etter annen lovgivning som er bestemmende for om arbeidsgiver kan innhente informasjon om vaksinasjonsstatus eller ikke. Dersom arbeidsgiver har hjemmel etter f.eks. arbeidsmiljøloven så vil det som regel foreligge behandlingsgrunnlag etter personopplysningsregelverket. I mange tilfeller kan den beste løsningen oppnås gjennom dialog med de ansatte om hva som kan være en rimelig ordning for å ivareta virksomhetens interesser og behov uten at dette går på bekostning av personvernet til de ansatte.

Les våre siste artikler om arbeidsrett

  • Arbeidsrett

    2021

    Tvisteløsningsnemndas rolle for tvister i arbeidslivet

    Du har kanskje hørt om Tvisteløsningsnemnda innenfor arbeidsrettens område. Men når skal en sak i arbeidslivet fremmes for tvisteløsningsnemnda, og hvilke frister gjelder for når disse tvistene må fremsettes for Tvisteløsningsnemnda?

  • Arbeidsrett

    2021

    Hvilken betydning får forbudet mot religiøs diskriminering for arbeidsgivere?

    Likestillings- og diskrimineringsloven forbyr blant annet diskriminering på grunn av religion og livssyn, og dette forbudet har nær sammenheng med menneskerettigheter som beskytter religionsfrihet. Hvilken betydning har så dette i arbeidsforhold?

  • Arbeidsrett

    2021

    Nye regler om koronasertifikat: Hva betyr dette for arbeidsgiver?

    19. november trådte en endring i kraft i covid-19-forskriften om bruk av koronasertifikat, knyttet til kommunale smitteverntiltak. Bakgrunnen for disse reglene er at det er åpnet for at kommuner kan innføre lokale smitteverntiltak innenfor egne kommunegrenser for å avhjelpe økende smittetrykk lokalt. Som en del av adgangen til å vedta kommunale smitteverntiltak, har kommunene nå også fått myndighet til å vedta regler om bruk av koronasertifikat for visse virksomheter og arrangementer der besøkende er over 16 år.