Hva gjør man når man har et juridisk spørsmål relatert til arbeidsplassen, men...

[AnonymBruker]

AnonymBruker skrev (13 timer siden):

Opplysninger knyttet til en ansatts helse er underlagt strenge personvernregler. Helseopplysninger defineres som alle opplysninger som sier noe om en persons fysiske eller psykiske helsetilstand, nåværende, tidligere eller fremtidige. Dette omfatter også det faktum at en person mottar medisinsk behandling. Ifølge personopplysningsloven/GDPR regnes helseopplysninger som sensitive personopplysninger, eller i GDPR-termer særlige kategorier av personopplysninger, som i utgangspunktet er forbudt å behandle uten et særskilt lovlig grunnlag.

Navn på behandler (f.eks. navnet på legen, fysioterapeuten eller psykologen man oppsøker) og tidspunkt for en medisinsk time kan røpe opplysninger om helseforhold. Isolert sett er ikke et navn eller et klokkeslett sensitivt. Men i kontekst – når man vet at dette er en behandler innen helsevesenet – blir det en helseopplysning. For eksempel vil det å fremvise at man har vært hos dr. Olsen kl. 14:00 innebære at man avslører at man søkte medisinsk hjelp den dagen. Behandlerens navn kan også gi indikasjoner på diagnosen eller typen helsehjelp: En psykiater, en fysioterapeut eller en onkolog gir ulike assosiasjoner til helseproblemer. Datatilsynet har uttalt at opplysninger om at noen er syke eller har fått medisinsk behandling regnes som helseopplysninger og dermed sensitiv informasjon .

Dermed må navn på behandler og tidspunkt for time behandles som personopplysninger om helse. Slike opplysninger faller under personvernforordningens artikkel 9(1), som forbyr behandling av helseopplysninger med mindre det finnes et unntak i artikkel 9(2) (for eksempel at behandlingen er nødvendig for å oppfylle arbeidsrettslige forpliktelser eller rettigheter, jf. GDPR art. 9(2)(b)). I norsk rett er disse bestemmelsene gjennomført i personopplysningsloven. Kort oppsummert er altså informasjon som knytter en identifiserbar person til en konsultasjon hos helsevesenet å anse som sensitiv.

For at arbeidsgiver lovlig skal kunne behandle (lagre eller bruke) sensitive personopplysninger som helseopplysninger, må ett av unntakene i GDPR art. 9(2) oppfylles. I arbeidsforhold vil det typisk være at behandlingen er nødvendig for å oppfylle en lovpålagt forpliktelse eller utøve rettigheter innen arbeidsrett/trygderett . Utbetaling av sykepenger og oppfølging av sykefravær er en slik forpliktelse – arbeidsgiver har hjemmel i folketrygdloven til å kreve sykmelding ved sykdom utover egenmelding, og således et grunnlag for å behandle de opplysningene som står i en sykmelding. Det anses lovlig at arbeidsgiver behandler informasjon om at en arbeidstaker er syk fra dato X til Y, sykmeldt av lege, og eventuelt arbeidsevnenedsatt i en viss grad – dette følger av nødvendigheten for utbetaling av lønn/sykepenger og tilretteleggingsplikten. Men dette begrunnelsesgrunnlaget strekker seg kun så langt som nødvendig. GDPR krever også at man ivaretar konfidensialitet og sikkerhet for slike data. Arbeidsgiver har taushetsplikt om arbeidstakers helseforhold. Personopplysningsloven og arbeidsmiljølovens prinsipper om integritet innebærer at eventuelle helseopplysninger som arbeidsgiver mottar, kun må gjøres tilgjengelig for de som må ha dem for å utføre sine oppgaver . For eksempel vil normalt kun HR/personalansvarlige behandle sykmeldingsinformasjon, og det skal ikke spres til uvedkommende.

Å kreve dokumentasjon som inneholder behandlernavn og tidspunkt må vurderes opp mot om formålet kan oppnås på en mindre inngripende måte. Ofte vil formålet – å få bekreftet at fraværet var legitimt – kunne nås ved at arbeidstakeren fremviser en bekreftelse som sier at vedkommende hadde en medisinsk avtale den dagen, uten å nødvendigvis fokusere på hvem legen er eller eksakt klokkeslett. I praksis vil likevel de fleste legeattester/timebekreftelser angi klokkeslett og bærer helsepersonellets navn/stempel. Dette er i utgangspunktet lovlig å innhente når det står i en nødvendig attest, men arbeidsgiver bør ikke kreve mer detaljerte opplysninger enn det som fremgår av en slik enkel bekreftelse. For eksempel ville det være uakseptabelt om arbeidsgiver krevde å få vite hvilken type spesialist eller detaljer om hva timen gjaldt (det ville klart være sensitive data om diagnose/behandling). Dersom arbeidsgiver nøyer seg med en standard bekreftelse fra behandlingsstedet, vil de som regel holde seg innenfor det saklige behov.

Anonymkode: 1e7b3...c6d

ChatGPT, that you

Anonymkode: 609c3...f28

[AnonymBruker]

AnonymBruker skrev (22 timer siden):

Sjefen stiller seg totalt uforstående når man tar opp problemstillingen og fagforeningen er ubrukelig? Har ventet i tre uker på svar på noe jeg trodde var et relativt enkelt spørsmål. Hvem andre er det naturlig å kontakte?

Anonymkode: f519b...833

Dersom ikke Fagforeningen er nyttig, kanskje Arbeidstilsynet?

Anonymkode: 53beb...b32