Informasjon om personopplysninger
Personvernsensitive personopplysninger
Det er fire grupper av personvernsensitive personopplysninger, men bare to av dem er underlagt spesifikke bestemmelser i GDPR. Ved behandling av personvernsensitive personopplysninger er reglene strengere.
Fire grupper av personvernsensitive personopplysninger
De fire gruppene av personvernsensitive personopplysninger er:
- Sensitive personopplysninger (artikkel 9 GDPR);
- Straffedommer og lovovertredelser (artikkel 10 GDPR);
- Personlig identifikasjonsnummer; og
- Subjektive personvernsensitive opplysninger.
Kan virksomheter behandle sensitive personopplysninger i henhold til GDPR?
Sensitive personopplysninger er en av gruppene av personvernsensitive personopplysninger. I tillegg omfattes sensitive personopplysninger av særlige bestemmelser i GDPR, der de omtales som «særligekategorier av personopplysninger». Den generelle regelen i artikkel 9 i GDPR forbyr behandling av disse spesielle kategoriene av personopplysninger, men det er noen unntak. Det er ikke uvanlig at virksomheter behandler sensitive personopplysninger.
Eksplisitt samtykke
Hvis et selskap får eksplisitt samtykke fra den registrerte til å behandle sensitive personopplysninger om ham eller henne, kan behandlingen tillates i henhold til artikkel 9 (2) (a) GDPR.
De seks rettsgrunnlagene
- Samtykke
- Kontrakt med den registrerte
- Berettiget interesse
- Juridisk forpliktelse
- Beskyttelse av grunnleggende interesser
- Utøvelse av offentlig myndighet og oppgave i allmennhetens interesse
Informasjon som avslører følgende hvis en person utgjør de spesielle kategoriene av personopplysninger
- rasemessig eller etnisk opprinnelse;
- Politiske oppfatninger;
- Religiøs eller filosofisk tro;
- medlemskap i fagforeninger,
- genetiske opplysninger,
- Biometriske data med det formål å entydig identifisere en fysisk person;
- helse,
- Seksuelt liv eller seksuell legning;
Arbeidsgivere behandler vanligvis helseopplysninger
Arbeidsgivere må vanligvis behandle data om helsen til sine ansatte, for eksempel sykefravær, som utgjør sensitive personopplysninger. Vær oppmerksom på at for eksempel en lønnsslipp som inneholder informasjon om sykefravær, derfor ikke skal sendes via ukryptert e-post, da den ikke er tilstrekkelig sikker. Det rettslige grunnlaget for behandlingen er vanligvis en rettslig forpliktelse i henhold til arbeidsretten, basert på unntaket i artikkel 9 nr. 2 bokstav b).
Personopplysninger knyttet til straffedommer og lovovertredelser
Selv om personopplysninger knyttet til lovbrudd ikke utgjør spesielle kategorier av personopplysninger i henhold til artikkel 9 i GDPR, har slike personopplysninger et høyere beskyttelsesnivå enn andre personopplysninger.
Hva slags informasjon er personopplysninger om lovbrudd?
- Lovbrudd begått,
- Mistanke om straffbare handlinger;
- Strafferettslige reaksjoner; og
- Strafferettslige tvangsforanstaltninger (f.eks. forvaring før rettssaken eller reiseforbud);
Kan selskaper lagre personopplysninger ved brudd på loven for å forfølge juridiske krav?
Ja, et selskap kan i visse tilfeller behandle personopplysninger ved brudd på loven for å forfølge juridiske krav. For eksempel, hvis en bank mistenker at en kunde er involvert i hvitvasking av penger. Det rettslige grunnlaget i slike tilfeller er en rettslig forpliktelse, da banken har en rettslig forpliktelse etter loven til å undersøke og eventuelt foreta en varsling dersom mistanken vedvarer.
Personvernmyndighetene kan vedta generelle og individuelle unntak
GDPR har gitt nasjonale databeskyttelsesmyndigheter myndighet til å gi generelle unntak for private parter til å behandle personopplysninger ved brudd på loven. I Sverige, for eksempel, har den nasjonale databeskyttelsesmyndigheten unntatt advokater og varslere som har en ledende eller viktig stilling. I tillegg kan en enkelt privat operatør få dispensasjon etter en anmodning om å utføre slik behandling.
Personlig identifikasjonsnummer er personvernsensitive personopplysninger
Det er ingen spesiell bestemmelse i GDPR for behandling av personidentifikasjonsnumre. På den annen side fortjener de ekstra beskyttelse i de fleste EU-medlemsstater. Personlige identifikasjonsnumre er imidlertid ikke sensitive personopplysninger i henhold til artikkel 9 i GDPR.
Reglene kan være svært forskjellige fra en medlemsstat til en annen.
I Sverige er personnummer (PIN) et offentlig dokument som alle kan få tak i, noe som ikke er vanlig i andre land. I Finland er personnummeret i stedet en personlig data som bare myndigheter som trenger det for sitt arbeid og personen som personnummeret tilhører, kan få tak i.
Subjektive personvernsensitive opplysninger
Det finnes mange personopplysninger som er klassifisert som subjektive personvernsensitive. Med andre ord utgjør personopplysninger som oppfattes av den registrerte, et brudd på personvernet hvis de behandles av noen andre. For eksempel posisjonsdata (GPS), bankkontoinformasjon og lignende. Det er regler for behandling av slike typer personopplysninger, selv om det ikke er noen spesifikk bestemmelse i GDPR som styrer dette.
Når selskapet underretter den nasjonale personvernmyndigheten om et brudd på personopplysningssikkerheten, skal det blant annet opplyse om bruddet omfatter en slik type subjektive personvernsensitive personopplysninger. I tillegg kan det være nødvendig å foreta en konsekvensanalyse før foretaket begynner å behandle subjektive personvernsensitive opplysninger.
Mer informasjon om personopplysninger
Livssyklusen til personopplysninger
Det er tre viktige trinn i livssyklusen til personopplysninger, som er viktige for bedrifter å forstå for å overholde GDPR. Det første trinnet er å gi selskapet tilgang til personopplysningene. Det andre trinnet gjelder behandling av personopplysninger av selskapet etter innsamling. I det siste trinnet, som handler om slutten av behandlingen, må selskapet sørge for at personopplysningene slutter å bli behandlet riktig. Det er mange regler å følge på hvert trinn i livssyklusen til personopplysninger.