Räknas kroppstemperatur som en personuppgift, och krävs det då att den hanteras enligt GDPR? Inte nödvändigtvis, men det är viktigt att se över hur resultatet av temperaturmätningen hanteras. Här får du veta mer om hur du kan tänka kring temperaturmätning och andra åtgärder som vidtas för att hindra smittspridning i förhållande till personuppgiftshantering.
Av förklarliga skäl söker många i dessa tider lösningar på hur arbetslivet stegvis kan närma sig något som i vart fall liknar ett normalläge. Vi får många frågor om hur en arbetsplats kan och får vidta smittförebyggande åtgärder, något vi ser som ett tecken på att många funderar på hur återgången till arbetet kan se ut.
Troligtvis kommer samhället behöva agera på sätt som minimerar risken för smittspridning, även efter att virusspridningen har klingat av. En åtgärd som har diskuterats är temperaturmätning för både anställda och besökare i entréerna till arbetsplatser.
Självklart måste flertalet överväganden göras, inte minst arbetsrättsliga och vad gäller den personliga integriteten. En annan central aspekt som inte heller får glömmas bort är om åtgärderna innebär en behandling av personuppgifter. För de flesta av er går förhoppningsvis ”GDPR-larmet” vid det här laget.
Trots rådande läge – fortsatt höga krav på regelefterlevnad
Vi har tidigare skrivit om att Europeiska dataskyddsstyrelsen uttalat att arbetsgivare trots det rådande läget inte har någon särskild lättnadsregel att tillgå när de hanterar sina anställdas personuppgifter. Samtidigt kommer åtskilliga arbetsplatser att behöva fatta beslut om hur risken för smitta ska minimeras när såväl konferens- och fikarum som andra samlingsplatser återigen börjar fyllas.
Får man ”ta tempen” på arbetsplatsens anställda och besökare?
En åtgärd som en del arbetsgivare nog har funderat över är om man får ”ta tempen” på sina anställda och andra besökare innan de ges tillträde till arbetsplatsen. Utifrån ett GDPR-perspektiv bör man först och främst ställa sig frågan om en sådan åtgärd medför att personuppgifter behandlas.
Kan kroppstemperatur ses som en personuppgift?
En personuppgift är, något förenklat, information som direkt eller indirekt kan identifiera en levande fysisk person. Eftersom definitionen av personuppgifter är teknikneutral, och indirekta identifieringar (det vill säga uppgifter som med hjälpmedel gör en identifieringmöjlig, exempelvis en IP-adress)inkluderas, är GDPR:s tillämpningsområde oerhört vidsträckt.
Det får dock anses svårt att på något sätt identifiera en person med enbart ett resultat i en febertermometer. Resultatet ensamt bör därför som utgångspunkt inte definieras som en personuppgift. Utifrån den förutsättningen kan själva mätningen inte heller utgöra en personuppgiftsbehandling som sätter GDPR i spel. Detta innebär dock inte att motsvarande åtgärd kan vidtas utan vidare eftertanke.
En åtgärd leder ofta till en hantering av personuppgifter
Det är viktigt att komma ihåg att även om mätningen i sig inte innebär en behandling av personuppgifter, kan den efterföljande hanteringen av resultatet göra det.
Om exempelvis medarbetaren som genomför temperaturmätningen registrerar anställdas och besökares uppmätta temperaturer tillsammans med deras namn är det tydligt att en identifiering av en person är möjlig. Därigenom aktualiseras GDPR:s bestämmelser och då även de högre krav som ställs på hälsouppgifter och andra särskilt känsliga personuppgifter.
Om en leverantör dessutom vägras tillträde på grund av för hög uppmätt kroppstemperatur, och detta kommuniceras med leverantörens arbetsgivare, innebär det inte enbart en insamling, utan även en överföring av särskilt känsliga personuppgifter till en tredje part, potentiellt belägen i ett land utanför EU och EES.
En relativt vanlig missuppfattning är att enbart den omständigheten att en viss åtgärd innebär en personuppgiftsbehandling gör den otillåten. Så är givetvis inte fallet, men om det konstateras att en viss åtgärd innebär en personuppgiftsbehandling är det av yttersta vikt att göra noggranna överväganden för att säkerställa att behandlingens alla steg faktiskt är lagenliga.
Temperaturmätning inte uteslutet – men se över behandlingen
Sammanfattningsvis är det alltså inte helt uteslutet att mäta vare sig anställdas eller besökares kroppstemperaturer. Däremot måste det tilltänka tillvägagångssättet och hanteringen av resultatet utvärderas så att agerandet inte strider mot bland annat dataskyddsrättsliga lagar och regler, men även i förhållande till andra regelverk och principer.
Eftersom just den här frågan trots sin aktualitet inte uttryckligen prövats rekommenderar vi att gå försiktigt fram och noga utreda samtliga förutsättningar för och nödvändigheten av åtgärden innan den implementeras i verksamheten.