GDPR-informasjon
Personopplysninger knyttet til straffedommer og lovovertredelser
Den generelle regelen i artikkel 10 i GDPR forbyr private aktører å behandle personopplysninger knyttet til straffedommer og lovbrudd. På den annen side kan behandling av personopplysninger om straffedommer og lovovertredelser tillates i visse tilfeller, ved anvendelse av unntak fra hovedregelen.
Eksempler på personopplysninger knyttet til straffedommer og lovovertredelser
Informasjon som en person har:
- Begått en straffbar handling.
- Har vært konkret mistenkt for en straffbar handling.
- Domfellelse av en domstol i forbindelse med en straffesak.
- Har vært utsatt for tvangsmidler etter straffeloven. For eksempel et anfall eller hvis personen har blitt plassert i forvaring før rettssaken.
Mistanke om en straffbar handling kan utgjøre kriminelle data
Eksistensen av opplysninger knyttet til mistanke om at en person har begått en straffbar handling, kan utgjøre kriminell informasjon, selv om det ikke er innledet rettssak. Imidlertid må de aktuelle dataene oppnå en viss grad av spesifisitet. Dersom opplysningene gjelder en bestemt lovbruddskategori eller et bestemt lovbrudd, anses det som oppnådd tilstrekkelig grad av konkretisering. Videre kan en tilstrekkelig grad av spesifisitet anses å være oppnådd dersom de aggregerte dataene tilsvarer de objektive kjennetegnene ved en bestemmelse i tjenestemannsvedtektene. Det som også militates til fordel for eksistensen av kriminelle data, er om formålet med behandlingen er å behandle kriminelle data spesielt, enten helt eller delvis.
Lovligheten av behandlingen av personopplysninger overlates til medlemsstatenes skjønn
Den generelle regelen i artikkel 10 i GDPR forbyr private aktører å behandle personopplysninger knyttet til straffedommer og lovbrudd. På den annen side er det opp til hver enkelt medlemsstat å avgjøre om behandlingen av slike opplysninger skal godkjennes eller ikke. Vær oppmerksom på at forbudet ikke gjelder for behandling utført av rettshåndhevende myndigheter, da det er regulert i et annet direktiv.
Private aktører kan i visse tilfeller behandle personopplysninger om straffedommer og lovovertredelser
Private aktører kan, med visse unntak fra hovedregelen, behandle personopplysninger om straffedommer og lovovertredelser. Følgende er eksempler på slike situasjoner.
Hvis det er nødvendig for forsvar, utøvelse eller etablering av et juridisk krav
Eksempel: Der det er en konkret grunn for et forsikringsselskap å mistenke at forsikringssvindel har skjedd, kan forsikringsselskapet behandle dataene med det formål å etablere et juridisk krav i en domstol.
Hvis behandlingen er regulert av en annen lov eller forskrift (rettslig forpliktelse)
Eksempel: Bankene må både undersøke og rapportere dersom de mistenker at en av deres kunder begår hvitvasking av penger. I slike tilfeller kan bankene behandle nødvendige personopplysninger for å undersøke og rapportere mistanker om hvitvasking av penger.
Private aktører kan be om behandling av personopplysninger knyttet til straffedommer og lovovertredelser
I tillegg til det faktum at nasjonale personvernmyndigheter kan treffe beslutning om unntak fra forbudet mot behandling av personopplysninger om lovovertredelser som er av generell art, kan de også treffe avgjørelse i enkeltsaker. Med andre ord kan et selskap sende inn en forespørsel til den nasjonale databeskyttelsesmyndigheten om å behandle personopplysningene. På den annen side betyr det ikke automatisk at databeskyttelsesmyndigheten vil godkjenne behandlingen.
Gjennomføre en konsekvensanalyse
Et selskap som ønsker å henvende seg til den nasjonale personvernmyndigheten for behandling av personopplysninger om straffedommer og lovovertredelser, trenger ikke å foreta en konsekvensanalyse før søknaden fremmes. Det kan imidlertid være nødvendig for selskapet å foreta en konsekvensanalyse før behandling påbegynnes. Det vil si etter at de har fått fullmakt til å behandle personopplysninger knyttet til straffedommer og lovbrudd.
Samtykke er ikke et gyldig rettslig grunnlag
Personopplysninger knyttet til straffedommer og lovovertredelser utgjør personvernsensitive personopplysninger. På den annen side er det ikke sensitive personopplysninger i henhold til artikkel 9 i GDPR. Behandling av sensitive personopplysninger kan tillates dersom selskapet får uttrykkelig samtykke til behandling av den registrerte. Dette gjelder imidlertid ikke for behandling av personopplysninger knyttet til straffedommer og lovovertredelser. Det er ikke tillatt å utføre behandling av personopplysninger på grunnlag av det juridiske grunnlaget for samtykke.
Lær mer om GDPR
Personidentifikasjonsnumre og koordineringsnumre utgjør en annen gruppe av personvernsensitive personopplysninger
Opplysninger om straffedommer, straffbare forhold og sensitive personopplysninger er omfattet av særlige bestemmelser i GDPR. På den annen side er ikke personidentifikasjonsnummeret. Vær imidlertid oppmerksom på at det vanligvis finnes andre lover og regler i de respektive EU-landene som begrenser behandlingen av personnummer. I Sverige, for eksempel, er personnummer (PIN) et offentlig stykke informasjon som kan nås av alle. I motsetning til Finland, hvor bare personen som PIN-koden tilhører, kan få den.