EU:n yleisessä tietosuoja-asetuksessa (GDPR) on otettu huomioon myös erilaisia terveysuhkia koskevia tilanteita: esimerkiksi asetuksen 9 artikla sallii ns. erityisten henkilötietoryhmien (eli esimerkiksi terveydentilaa koskevien tietojen) käsittelyn silloin, kun käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajat ylittäviltä terveysuhkilta suojautumiseksi (9 artiklan 2 kohdan i alakohta). Kohta soveltuu lähinnä viranomaisten toimintaan, työntekijöiden tietojen käsittelyn osalta kyse on myös tässä tilanteessa lähtökohtaisesti rekisterinpitäjän lakisääteisen velvoitteen noudattamisesta.
Varsinkin muiden jäsenvaltioiden viranomaisten kannanottoja lukiessa on syytä pitää mielessä, että Suomessa työntekijöiden terveydentilaa koskevien tietojen käsittelyyn liittyy kaksi säädöstä: yleissäädöksenä EU:n yleinen tietosuoja-asetus (GDPR) sekä erityissääntelynä kotimainen laki yksityisyyden suojasta työelämässä. Molemmat soveltuvat myös valmiuslain käyttöönoton jälkeen.
Tarkempi sääntely ja rajoitukset koskevat terveydentilaa koskevien tietojen käsittelyä. Esimerkiksi pelkkä tieto siitä, että henkilö on karanteenissa, ei kuitenkaan ole henkilön terveydentilaa koskeva tieto. Tartuntatautilain mukaan karanteeniin voidaan määrätä myös taudille altistuneita henkilöitä, eikä karateeniin määrääminen kerro vielä yksinään mitään karanteeniin määrätyn henkilön terveydentilasta. Myös tietosuojavaltuutettu on linjannut näin. Myöskään esimerkiksi tieto siitä, että henkilö on matkustanut epidemia-alueella, ei ole terveydentilaa koskeva tieto, oli kyse sitten työ- tai vapaa-ajan matkasta.
Sen sijaan esimerkiksi tieto siitä, että henkilö on sairastunut koronaviruksen aiheuttamaan COVID-19-tautiin, on terveydentilaa koskeva tieto (aivan kuten olisi vaikkapa tieto sääriluun murtumasta, silmätulehduksesta tai mistä tahansa muustakin sairaudesta). Jos työntekijällä todetaan COVID-19-tartunta, tulee tietoa sairaudesta käsitellä kuin muitakin terveydentilaa koskevia tietoja työpaikalla: tietoa saavat yksityisyyden suojasta työelämässä annetun lain mukaan käsitellä vain ne henkilöt, joiden työtehtäviin se kuuluu. Tämä ei luonnollisestikaan estä työnantajaa kertomasta muille työntekijöille, että työpaikalla on todettu tartunta. Sairastunutta työntekijää ei kuitenkaan lähtökohtaisesti tule nimetä, joskin käytännössä tartunnasta kertominen voi usein myös epäsuorasti paljastaa sairastuneen henkilön. Tässä yhteydessä on syytä muistaa myös työnantajan velvollisuudet työntekijöiden terveydestä huolehtimisessa sekä se, että COVID-19-tartunta ja virukselle altistuminen poikkeaa monesta muusta sairaudesta. Altistumisella on merkitystä esimerkiksi karanteenin kannalta, oli karanteeni sitten oma-aloitteinen tai viranomaisen määräykseen perustuva.
Työntekijöiden terveydentilatietojen käsittelyä koskeva tarpeellisuusvaatimus on syytä ottaa huomioon myös muussa aiheeseen liittyvässä käsittelyssä. Esimerkiksi Elinkeinoelämän keskusliitto EK on omassa tietopaketissaan muistuttanut, ettei työnantajien ole syytä lähteä omin päin keräämään työntekijöiden terveydentilaan liittyviä tietoja – kyse on tietosuojan lisäksi myös siitä, että tiedoista ei tehdä virheellisiä johtopäätöksiä ilman terveydenhuollon ammattilaisia tavalla, joka pahimmillaan altistaisi työntekijöitä tarpeettomasti tartunnalle.
