Innhold

Kan arbeidsgiver kartlegge hvem som er vaksinert eller kreve at arbeidstaker tar koronatest eller koronavaksine?

Kolleger snakker sammen i et uformelt rom på jobb..

Arbeidsgiver må ha gode grunner for å iverksette et kontrolltiltak. Illustrasjonsfoto: iStock

På enkelte arbeidsplasser har virksomheten et særlig ansvar for å ivareta arbeidstakere og andre mennesker som er spesielt utsatt for alvorlig sykdom ved smitte av koronaviruset. Det utløser spørsmålet om hvilke tiltak virksomheten lovlig kan sette i verk. I denne artikkelen gjennomgår vi sentrale vurderingstemaer for bedrifter som har et særskilt behov for at de ansatte ikke sprer smitte på arbeidsplassen. Reglene som gjelder her, er svært skjønnsmessige. Det er derfor vanskelig å gi generelle råd. Ta gjerne kontakt med din landsforening om du er usikker etter å ha lest denne veilederen.

Arbeidsgivers styringsrett, virksomhetens behov og arbeidstakerens personvern

Arbeidsgivers styringsrett er utgangspunktet for en vurdering av arbeidsgivers mulighet for å iverksette tiltak for å begrense smittespredning på arbeidsplassen. Styringsretten er begrenset av blant annet lovbestemmelser, arbeidsavtalen og eventuelle tariffavtaler, og krever i tillegg et forsvarlig vurderingsgrunnlag. Det betyr i praksis at arbeidsgiver må kartlegge lovligheten og behovet for tiltaket før en beslutning tas, og det kan i mange tilfeller være lurt å dokumentere vurderingene skriftlig.

Arbeidsgivere kan ha ulike behov for at de ansatte må underlegges særskilte "koronatiltak". Behovet kan skyldes at bedriften leverer produkter eller tjenester til grupper som er særlig sårbare ved smitte av viruset, som f.eks. pasienter i en privat helseinstitusjon. I andre tilfeller kan bedriften ha egne ansatte som er i risikogruppe ved koronasmitte. I slike tilfeller har arbeidsgiver et særskilt ansvar for å sikre at arbeidstaker har et fullt forsvarlig arbeidsmiljø. Virksomhetens og øvrige gruppers behov må avveies mot den enkeltes vern mot inngrep i sitt privatliv ved innføring av tiltak.

To tunge hensyn står mot hverandre: arbeidsgivers behov for kontrolltiltaket og arbeidstakerens personvern. Reglene viser at det skal foretas en interesseavveining av disse to hensynene. Det er vanskelig å gi entydige råd – situasjonen vil variere fra bedrift til bedrift, og avhengig av bedriftens virksomhet og bransje.

Behandling av personopplysninger må skje i tråd med personopplysningsloven, herunder GDPR. Les mer om dette nedenfor.


Kartlegging av vaksinerte eller smittede

Kartlegging av hvem som er vaksinert eller smittet er langt mindre inngripende enn f.eks. å pålegge vaksine, og kan medføre at det ikke er behov for å iverksette mer inngripende tiltak. Arbeidsgiver vil alltid være forpliktet til å benytte det minst inngripende tiltaket.

Arbeidsgivers adgang til å kartlegge hvem som er vaksinert eller smittet er begrenset i arbeidsmiljøloven kapittel 9. Det skyldes at en slik kartlegging anses for å være et kontrolltiltak. Et kontrolltiltak kan være så mangt – alt fra arbeidstidsregistrering via kameraovervåkning til rusmiddeltesting og vaksineregistering.

Arbeidsgiver må ha gode grunner for å iverksette et kontrolltiltak og man må ha tenkt nøye gjennom hvilke mothensyn som gjør seg gjeldende. De tiltak som er særlig aktuelle i denne artikkelen – kartlegging av vaksinerte eller smittede – kan krenke personvernet på en særlig inngripende måte. Et godt råd er å skrive ned begrunnelsen for behovet for kontrolltiltaket.


Innhenting av helseopplysninger

Arbeidsgiver kan etter arbeidsmiljøloven § 9-4 (1) bokstav c kreve at medisinske undersøkelser av arbeidssøkere eller arbeidstakere foretas når det er nødvendig for å verne liv eller helse. Begrepet dekker de fleste undersøkelser som gjøres for å fremskaffe helseopplysninger om den enkelte ansatte; en samtale om tidligere sykdom kan omfattes av begrepet. Som utgangspunkt vil alle slags medisinske undersøkelser betraktes som et inngrep. Slike tiltak bør derfor begrenses til det som er strengt nødvendig ut fra bedriftens behov for å verne om liv eller helse for arbeidstakeren selv, andre arbeidstakere eller tredjepersoner – for eksempel kunder eller leverandører.

Smittespredning kan for mange virksomheter utgjøre en fare. Innhenting av medisinske opplysninger for å verne om liv og helse må likevel være nødvendig og forholdsmessig. Faren for liv eller helse må være alvorlig og fremstå som konkret, nærliggende og sannsynlig i den aktuelle virksomheten.

Arbeidstilsynet har vurdert at lokale forhold, forhold knyttet til drift av virksomheter og omstendigheter i arbeidsstokken, kan tilsi at medisinske undersøkelser kan være et relevant og lovlig kontrolltiltak i enkelte tilfeller. Arbeidstilsynet opplyser videre at arbeidsgivere normalt kan kartlegge vaksinestatus for arbeidstakere som kommer fra eller via et land med karanteneplikt for å arbeide i Norge. På den måten kan arbeidsgiverne finne ut hvem som skal i innreisekarantene.

Det er viktig å være oppmerksom på at terskelen er høy for å iverksette slike tiltak. Under en pandemi vil likevel flere bedrifter ha saklig grunn til å iverksette medisinske undersøkelser for å begrense smittespredning av viruset på arbeidsplassen sammenlignet med en normalsituasjon.

Merk at det er egne reguleringer for innhenting av helseopplysninger i forbindelse med ansettelse i arbeidsmiljøloven § 9-3.


Innføring av kontrolltiltak

Kontrolltiltak, som f.eks. kartlegging av vaksinestatus, kan kun innføres når dette har saklig grunn i virksomhetens forhold og det ikke innebærer en uforholdsmessig belastning for arbeidstakeren i tråd med arbeidsmiljøloven § 9-1.

Formålet med kontrolltiltaket må være saklig begrunnet både i virksomheten og overfor den enkelte arbeidstaker som berøres av tiltaket. Behovet for å innhente opplysninger om vaksinestatus grunnet smitterisiko på arbeidsplassen vil eksempelvis kun være aktuelt for en arbeidstaker som må ha nærkontakt med andre mennesker for å utføre arbeidet.

Virksomheten må også vurdere om det aktuelle tiltaket er en uforholdsmessig belastning for den berørte arbeidstakeren. Her vil bant annet tiltakets formål, konsekvensene inngrepene vil kunne få for arbeidstakernes personvern, tiltakets art og gjennomføring være relevant.

Følgende spørsmål kan bidra til å avklare om det er saklig grunn til å iverksette et slikt kontrolltiltak:

  • Hvorfor mener virksomheten at det er behov for å iverksette kontrolltiltak?
    • Er det ansatte eller andre personer i risikogruppe på arbeidsplassen?
    • Hvor høyt er smittetrykket i kommunen eller regionen hvor arbeidsplassen er lokalisert?
    • Hvor høyt er smittetrykket i kommunen eller regionen hvor arbeidstakeren bor?
  • Må tiltaket gjennomføres overfor alle ansatte?
    • Det er gjerne nødvendig å kartlegge ansatte som er i kontakt med mange mennesker i løpet av en arbeidsdag, ikke ansatte som arbeider isolert.
  • Er det mulig å fylle disse behovene ved bruk av mindre inngripende tiltak?
    • Kan de ansatte jobbe på hjemmekontor, tilbys andre arbeidsoppgaver eller er det tilstrekkelig å iverksette smittevernrutiner (munnbind, større avstand eller lignende)?
  • Hva er konsekvensen av at kontrolltiltaket ikke iverksettes?
    • Er det høy risiko for at noen blir alvorlig syke eller kan dø ved smitte?
  • Hvilke ulemper påføres den enkelte arbeidstakeren ved innføring av kontrolltiltaket?

Fremgangsmåte

Innføring av kontrolltiltak krever en bestemt fremgangsmåte i tråd med arbeidsmiljøloven § 9-2. Før man iverksetter kontrolltiltak, er man forpliktet til å involvere tillitsvalgte og informere de ansatte.

  • Involvering av de tillitsvalgte: Innføring av kontrolltiltak skal drøftes med tillitsvalgte. Drøftelsesplikten krever at arbeidsgiver drøfter behov, utforming og gjennomføring av kontrolltiltaket. Drøftingen bør basere seg på den til enhver tid oppdaterte informasjon fra helsemyndighetene.
  • Informasjon til de ansatte: Arbeidstakere som berøres skal informeres om følgende før et kontrolltiltak innføres:
    • formålet med kontrolltiltaket
    • praktiske konsekvenser av kontrolltiltaket, herunder hvordan kontrolltiltaket vil bli gjennomført
    • kontrolltiltakets antatte varighet

Arbeidsgiver skal sammen med tillitsvalgte jevnlig evaluere behovet for de kontrolltiltak som iverksettes. Når samfunnet gradvis gjenåpnes, og de fleste smitteverntiltakene bortfaller, kan det være hensiktsmessig å vurdere å gjennomføre nye drøftelser med tillitsvalgte. 


Resultatet av kartleggingen påvirker behovet for andre tiltak

Særlig ansatte som ikke har vært smittet eller er vaksinert, kan være potensielle smittespredere. I de tilfellene kartleggingen viser at den ansatte ikke har vært smittet eller tatt en vaksine, kan det være behov for mer inngripende kontrolltiltak, som f.eks. testing (se nedenfor). Ansatte som ikke ønsker å oppgi tidligere smitte eller vaksinestatus, vil anses for å være potensielle smittespredere.


Pålegg om testing

I de tilfellene en kartlegging ikke er tilstrekkelig for å dekke virksomhetens behov for å verne om egne ansatte eller andre tredjepersoner, vil testing av ansatte være et kontrolltiltak som gjerne vurderes. Adgangen til å pålegge ansatte å teste seg reguleres av de samme bestemmelsene som er omtalt over. Det betyr at pålegg om testing er et kontrolltiltak og en medisinsk undersøkelse som krever tilsvarende vurderinger og fremgangsmåte som kartlegging. Terskelen for å iverksette dette kontrolltiltaket er likevel noe høyere. Se eksempler på noen typetilfeller nedenfor.

Når helsemyndighetene etter gjenåpningen fortsatt anbefaler at man skal teste seg ved symptomer, eventuelt holde seg hjemme, må arbeidsgiver ved behov kunne spørre den ansatte om han/hun er testet ved eventuelle symptomer.

Vaksinepålegg

Å pålegge noen å vaksinere seg, må generelt sies å være inngripende. Det følger av smittevernloven at myndighetene i forskrift kan fastsette at "befolkningen eller deler av den skal ha plikt til å la seg vaksinere".

Det er NHOs oppfatning at NHOs medlemsbedrifter som arbeidsgivere ikke vil ha adgang til å gi et vaksinepålegg.

De bedriftene som har et tungtveiende behov for å iverksette kontrolltiltak for å begrense smittespredning blant ansatte eller tredjepersoner, må vurdere mindre inngripende tiltak, som f.eks. kartlegging eller testing.  


Konsekvensen av at den ansatte nekter å opptre i tråd med tiltaket

Hvis bedriften har anledning til å iverksette noen av tiltakene over, og den ansatte nekter, er spørsmålet hvordan dette kan håndteres. Arbeidstakere som ikke vil kunne utføre arbeidsoppgavene sine eller utføre alternative arbeidsoppgaver uten at tiltaket iverksettes, vil heller ikke kunne oppfylle sin del av arbeidskontrakten. Det vil dermed kunne bli et spørsmål om arbeidstakers adferd kan gi grunnlag for arbeidsrettslige sanksjoner i form av advarsel, eller i alvorlige tilfeller oppsigelse eller avskjed.

Dette må vurderes konkret i det enkelte tilfellet. Virksomheter som vurderer å innføre noen av tiltakene over bør drøfte problemstillingen med advokat før iverksetting.

Behandling av helseopplysninger i arbeidsforhold

Arbeidsgivere som innhenter opplysninger fra de ansatte om helseforhold, tidligere smitte, vaksinasjonsstatus eller resultater fra covid 19-test, må behandle disse opplysningene i tråd med personopplysningsloven, herunder GDPR. Personvernlovgivningen skal ikke forhindre bedrifter fra å ivareta sine ansatte og tredjeparter for smitterisiko, men det er viktig at behandlingen gjennomføres i tråd med reglene. Personopplysningsloven krever blant annet at bedrifter har et behandlingsgrunnlag for at bedriften lovlig skal kunne behandle personopplysningene.


Alminnelig behandlingsgrunnlag

Krav om behandlingsgrunnlag fremgår av GDPR artikkel 6. Personopplysninger som stammer fra et lovlig implementert kontrolltiltak vil i mange tilfeller ha et lovlig behandlingsgrunnlag i GDPR art 6 nr. 1 bokstav f. Det betyr at bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er mer tungtveiende enn å verne personopplysningene til arbeidstakeren. Dette må vurderes konkret i det enkelte tilfellet.


Særskilt behandlingsgrunnlag

Opplysninger om smitte, vaksinasjonsstatus og testresultater er helseopplysninger, som er en særlig kategori av personopplysninger. Skal man behandle slike opplysninger, må man oppfylle noen særlige vilkår, i tillegg til å ha et alminnelig behandlingsgrunnlag.

GDPR art 9 nr. 2 bokstav b

GDPR art. 9 nr. 2 bokstav b gir grunnlag for å behandle helseopplysninger der det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter som er tillatt etter lov eller tariffavtale. Dette kan antagelig være et grunnlag for å behandle personopplysninger om vaksinasjonsstatus eller testresultater der disse er lovlig samlet inn i tråd med arbeidsmiljølovens bestemmelser om kontrolltiltak, og vaksinasjonsstatusen er nødvendig for å sikre et forsvarlig arbeidsmiljø i tråd med arbeidsmiljøloven § 4-1.

Personopplysningsloven § 6

Personopplysningsloven § 6 er et annet eksempel på et slikt særskilt behandlingsgrunnlag. Bestemmelsen gir grunnlag for å behandle helseopplysninger når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter, og vil trolig kunne benyttes når det ikke foreligger en lov- eller tariffbestemt forpliktelse i arbeidsmiljøloven til å behandle helseopplysningene.

GDPR art 9 nr. 2 bokstav i

GDPR art 9 nr. 2 bokstav i kan gi grunnlag for behandling av helseopplysninger som er nødvendig av allmenne folkehelsehensyn. Avhengig av bedriftens begrunnelse for å samle inn personopplysningene, kan bestemmelsen være et aktuelt behandlingsgrunnlag for helseopplysninger.

Krav om nødvendighet

Behandling av personopplysninger må i alle tilfeller være nødvendig. Nødvendighetskravet vil gjerne være oppfylt når behandlingen er saklig eller legitim, for eksempel når det ikke er praktisk mulig å gjennomføre pliktene eller rettighetene uten å behandle opplysningene.

Bedriftens vurderinger må dokumenteres

Det er viktig at bedriften dokumenterer de vurderingene som foretas, og eventuelt ser på behovet for en vurdering av personvernkonsekvenser (DPIA).

I tillegg bør man blant annet stille seg følgende spørsmål:

  • Er det mulig å gjennomføre tiltak uten å innhente informasjon om den enkelte eller kan man gjennomføre andre tiltak?
  • Er det mulig å begrense behandlingen av personopplysningene?
  • Hvem skal ha tilgang til dataene?
  • Hvordan skal de lagres?
  • Når skal de slettes?
  • Hvordan skal de ansatte informeres om dette?
    • De ansatte må gjøres kjent med hvilke personopplysninger som samles inn, formålet med innsamlingen, hva det skal brukes til, hvem det vil deles med, hvor lenge opplysningene vil lagres og hvilke rettigheter de har.

Datatilsynets nettside kan man lese mer om virksomhetens forpliktelser ved behandling av personopplysninger.