Kjennskap til GDPR
Personlige identifikasjonsnumre er ytterligere personopplysninger som fortjener beskyttelse
Personlige identifikasjonsnumre er ytterligere personopplysninger som fortjener beskyttelse, men de er ikke klassifisert som sensitive personopplysninger i henhold til artikkel 9 i GDPR. Vær imidlertid oppmerksom på at reglene i denne forbindelse kan variere fra en medlemsstat til en annen.
Samtykke er vanligvis nødvendig for å behandle personnummer
I de fleste tilfeller trenger et selskap gyldig samtykke fra den registrerte for å behandle sitt personnummer. Det finnes imidlertid unntak. For eksempel om det er nødvendig å utføre behandlingen med det formål å sikre identifikasjon.
For eksempel når en person ringer sin bank og er pålagt å identifisere seg selv ved hjelp av en «Mobil Bank-ID», og samtalen er registrert, med den som ringer muntlig gi hans eller hennes personlige identifikasjonsnummer til bankmannen.
Spesifikke regler og lover
Det kan være spesifikke regler og lover som tillater en operatør å behandle personlige identifikasjonsnumre, selv når personlige identifikasjonsnumre er ytterligere personopplysninger som fortjener beskyttelse. I slike tilfeller utføres behandlingen av personnummeret på grunnlag av en juridisk forpliktelse som lovlig grunnlag i henhold til artikkel 6 (1) (c) i GDPR.
Regler for behandling av personnummer kan variere avhengig av medlemsstaten
Landene som GDPR gjelder for, kan ha forskjellige regler for behandling av personnummer. I Sverige er personnummer offentlige opplysninger. Personlige identifikasjonsnumre vises i offentlige dokumenter som sivile statusregistre, erklæringer, etc. Kort sagt betyr dette at alle kan be om et personlig identifikasjonsnummer fra en myndighet i Sverige, forutsatt at det ikke er noen spesifikk konfidensialitet i det enkelte tilfelle. Dette gjelder både personnummer og koordineringsnummer. Dette er imidlertid uvanlig i EU-landene.
Faktisk, i Finland, reglene er helt annerledes, der en person som ønsker å ha tilgang til hans eller hennes eget personnummer selv trenger å identifisere seg med en bestemt myndighet (antagelig med en ID fra et annet land, som personnummer vises på den finske ID-dokument). Med andre ord, andre medlemmer av samfunnet kan ikke få personlig identifikasjonsnummer til en annen person.
Unngå å eksponere PIN-kode eller koordinasjonsnummer
Dersom et personnummer er en tilleggspost med personopplysninger som er verneverdige i et EU-land der behandlingen finner sted, bør det aktuelle personnummeret eksponeres så lite som mulig. Med andre ord bør du ikke inkludere personidentifikasjonsnummeret til for eksempel et konvoluttvindu som er synlig, i emnelinjen i en e-post, etc.
Det er nyttig å gjennomføre en konsekvensanalyse før behandling av et personidentifikasjonsnummer eller et koordineringsnummer
Ettersom personidentifikasjonsnumre er ytterligere personopplysninger som er verneverdige, samt personvernsensitive personopplysninger, kan det være hensiktsmessig å gjennomføre en konsekvensanalyse før behandlingen utføres.
Kan arbeidsgivere behandle personidentifikasjonsnumrene til sine ansatte?
Det korte svaret på spørsmålet er at det avhenger av omstendighetene. Hvis behandlingen er berettiget i forhold til formålet, er det tillatt for arbeidsgivere å behandle personidentifikasjonsnumrene til sine ansatte. Det er imidlertid viktig å huske på at personidentifikasjonsnumre ikke bør eksponeres unødvendig, da personidentifikasjonsnumre er ytterligere personopplysninger som er verneverdige.
Eksempler på når det kan være hensiktsmessig å behandle ansattes personnummer
Dette er relatert til lønnsstyring.
Eksempel på når det ikke er hensiktsmessig å behandle ansattes personnummer
Er om arbeidsgiveren skriver ut personidentifikasjonsnumrene til de ansatte på vaktlister.
Videre er det nyttig å unngå å bruke PIN-koden som brukernavn for ulike systemer som brukes av ansatte i sammenheng med deres arbeid, da det er vanskelig å rettferdiggjøre behandlingen i samsvar med GDPR.
Mer informasjon om GDPR
Subjektive personvernsensitive opplysninger
GDPR regulerer klart sensitive personopplysninger (artikkel 9 GDPR) og personopplysninger knyttet til straffedommer og lovbrudd (artikkel 10 GDPR). Det samme gjelder derimot ikke for subjektive personvernsensitive data, som i visse tilfeller kan være vanskeligere å definere. Eksempler på subjektive personvernsensitive data er posisjonsdata (GPS) og bankkontodata. Kort sagt, subjektive personvernsensitive data relaterer seg til data som kan føle seg personvernsensitive for den registrerte. Det handler med andre ord om den registrertes erfaring. Slike opplysninger skal behandles med en høyere grad av sikkerhet enn for eksempel navn eller andre «vanlige personopplysninger».