GDPR - personoplysninger
Følsomme personoplysninger
I henhold til den generelle regel i GDPR er det forbudt for private parter at behandle personoplysninger vedrørende straffedomme og lovovertrædelser. Det kan dog være tilladt at behandle personoplysninger vedrørende straffedomme og lovovertrædelser i visse tilfælde ved hjælp af gældende undtagelser fra hovedreglen.
Følgende er følsomme personoplysninger:
- Racemæssig eller etnisk oprindelse
- Politiske holdninger
- Religiøse eller filosofiske overbevisninger
- Medlemskab af fagforeninger
- Genetiske data
- Biometriske data til entydig identifikation af en fysisk person
- Sundhed og
- Seksuelt liv eller seksuel orientering.
Er det forbudt at behandle følsomme personoplysninger i henhold til den generelle regel?
Ja, behandling af følsomme personoplysninger er forbudt og dermed ikke tilladt i henhold til den generelle regel i databeskyttelsesforordningens artikel 9. Der er dog visse undtagelser fra den generelle regel, som kan tillade behandling af følsomme personoplysninger i visse tilfælde.
Hvad er sikkerhedskravene til behandling af følsomme personoplysninger?
Ved behandling af følsomme personoplysninger skal virksomheden gennemføre bedre tekniske og organisatoriske sikkerhedsforanstaltninger end ved behandling af “almindelige personoplysninger”. Personoplysninger, der ikke er følsomme, men som anses for at være følsomme over for privatlivets fred, skal også behandles med et højere sikkerhedsniveau end andre “almindelige personoplysninger”.
Eksempler på, hvad der ikke udgør følsomme personoplysninger:
- Bankkontooplysninger
- Oplysninger om strafbare handlinger eller lovovertrædelser
- Personligt identifikationsnummer.
Sundhedsdata er følsomme personoplysninger, som arbejdsgivere behandler
Arbejdsgivere har ofte brug for at behandle medarbejdernes sundhedsdata. F.eks. oplysninger om sygefravær eller handicap. Desuden er sygefravær normalt angivet i lønsedler, hvilket betyder, at lønsedlerne skal behandles med tilstrækkelig sikkerhed. Derfor bør en arbejdsgiver f.eks. ikke sende lønsedlen via ukrypteret e-mail.
Hvornår er behandling af følsomme personoplysninger tilladt?
Databeskyttelsesforordningens artikel 9, stk. 2, indeholder en liste over ti undtagelser, som tillader behandling af følsomme personoplysninger. Dette betyder, at hvis en af undtagelserne finder anvendelse, kan de følsomme personoplysninger behandles på trods af forbuddet i henhold til den generelle regel i databeskyttelsesforordningens artikel 9, stk. 1. Nedenfor er en liste over de 10 undtagelser for behandling af følsomme personoplysninger.
Udtrykkeligt samtykke (artikel 9, stk. 2, litra a), i GDPR)
Hvis den registrerede har givet sit udtrykkelige samtykke til behandling af følsomme personoplysninger, der tilhører den pågældende, kan de pågældende oplysninger behandles på grundlag af denne undtagelse.
Arbejdsret, social sikring eller social beskyttelse (artikel 9, stk. 2, litra b), i GDPR)
Hvis behandlingen af de følsomme personoplysninger er påkrævet i henhold til arbejdsretten eller kollektive overenskomster, kan dette ske på grundlag af denne undtagelse. Dette gælder dog kun, hvis der træffes passende sikkerhedsforanstaltninger i forbindelse med behandlingen.
Basisinteresse (artikel 9, stk. 2, litra c), i GDPR)
Behandling af følsomme personoplysninger er tilladt, hvis det er nødvendigt for at redde liv. I sådanne tilfælde er retsgrundlaget for behandlingen beskyttelsen af grundlæggende interesser i henhold til artikel 6, stk. 1, litra d). For eksempel kan et hospital nødt til at tage en blodprøve på en bevidstløs person, der er blevet taget til skadestuen, for at være i stand til at give personen den rigtige blodtype. Da der er tale om helbredsoplysninger, er der tale om følsomme personoplysninger. Denne undtagelse må dog ikke anvendes, hvis den registrerede kan give sit samtykke, f.eks. hvis personen har bestilt et besøg hos en læge og kan give sit samtykke.
Nonprofitorganisation (artikel 9, stk. 2, litra d), i GDPR)
Følsomme personoplysninger kan behandles i en nonprofitorganisation, forudsat at de kun vedrører medlemmer eller andre personer, der har regelmæssig kontakt med organisationen, og at de følsomme personoplysninger ikke videregives uden for organisationen. Denne undtagelse kan f.eks. anvendes af en politisk, religiøs eller fagforeningsmæssig nonprofitorganisation.
Klart offentliggjort af den registrerede (artikel 9, stk. 2, litra e), i GDPR)
Hvis de følsomme personoplysninger klart er blevet videregivet af den registrerede selv, kan de behandles på grundlag af denne undtagelse. For eksempel, hvis en person står som kandidat i et valg til et politisk parti og deltager åbent i interviews, debatter og ellers er offentligt politisk aktiv.
Etablere, udøve eller forsvare juridiske krav (artikel 9, stk. 2, litra f), i GDPR)
Hvis behandlingen af de følsomme personoplysninger er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, er behandlingen tilladt. Det er også tilladt for domstolene at behandle følsomme personoplysninger som led i deres retslige aktiviteter.
Vigtig offentlig interesse (artikel 9, stk. 2, litra g), i GDPR)
Hvis behandlingen af de følsomme personoplysninger er nødvendig af hensyn til vigtige interesser i henhold til loven, og behandlingen er underlagt de fornødne garantier, er behandlingen tilladt i henhold til denne undtagelse. For eksempel kan offentlige myndigheder behandle følsomme personoplysninger for at kontrollere eller undersøge mulig tilskudssvindel. Myndighederne kan også i nogle tilfælde være nødt til at behandle følsomme personoplysninger som led i deres baggrundskontrol. F.eks. data om overtrædelser af lovgivningen, sundhed eller politisk ekstremisme for at vurdere, om en person er egnet til at arbejde i klassificerede erhverv, f.eks. politiet.
Sundhedspleje eller social omsorg (artikel 9, stk. 2, litra h), i GDPR)
Hvis behandling af følsomme personoplysninger er påkrævet ved lov eller aftale for at udføre sundhedspleje eller social omsorg, vurdering af behandling og arbejdsevne, kan denne undtagelse finde anvendelse. Fortroligheden skal dog respekteres, og der skal indføres særlige sikkerhedsforanstaltninger.
Folkesundhedsmæssige årsager (artikel 9, stk. 2, litra i), i GDPR)
Denne undtagelse betyder, at hvis behandlingen af de følsomme personoplysninger skal finde sted af hensyn til folkesundheden, kan den finde sted med forbehold af passende tekniske og organisatoriske garantier. F.eks. for at sikre lægemidlernes kvalitet eller beskytte mod alvorlige grænseoverskridende sundhedstrusler.
Arkiveringsformål i samfundets interesse, videnskabelig eller historisk forskning eller statistik (artikel 9, stk. 2, litra j), i GDPR)
Hvis følsomme personoplysninger skal behandles med henblik på arkivering i samfundets interesse, videnskabelig eller historisk forskning eller statistik i overensstemmelse med artikel 89 i GDPR, kan denne undtagelse anvendes, forudsat at der er indført de fornødne garantier.
Mere information om personoplysninger
Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser
Den generelle regel forbyder behandling af personoplysninger vedrørende lovovertrædelser, medmindre den foretages af en retshåndhævende myndighed. På den anden side kan EU-landene frit regulere, hvordan andre aktører, f.eks. private virksomheder, må behandle sådanne personoplysninger. Eksempler på personoplysninger om lovovertrædelser er oplysninger om en person, der har begået en forbrydelse, domme i en straffesag og strafferetlige tvangsforanstaltninger såsom rejseforbud og afgørelser.