Informasjon om personopplysninger
Subjektive personvernsensitive personopplysninger
Subjektive personvernsensitive data er en av de fire gruppene av personvernsensitive personopplysninger. I motsetning til sensitive personopplysninger (artikkel 9 i GDPR) og personopplysninger knyttet til straffedommer og lovbrudd (artikkel 10 i GDPR), er det ingen direkte bestemmelse om subjektive personvernsensitive data i GDPR.
Hvordan påvirker opplevelsen av brudd på personvernet til de registrerte behandlingen av deres personopplysninger?
Den registrerte kan føle seg ukomfortabel når noen andre behandler visse typer personopplysninger som tilhører den registrerte. Dette betyr at behandlingen av slike typer personopplysninger har innvirkning på den berørte registrertes subjektive opplevelse. Slike typer personopplysninger utgjør dermed såkalte «subjektive personvernsensitive personopplysninger».
Eksempler på subjektive personvernsensitive personopplysninger
Økonomiske oppgaver
Bankkontoinformasjon, kredittkortnumre, innflytelse, kredittverdighet og andre økonomiske personopplysninger er noe som mange individer føler seg ubehagelige når de behandles av uautoriserte personer, da de kan få store konsekvenser. Ingen økonomiske data utgjør sensitive personopplysninger i henhold til artikkel 9 i GDPR, men kan være subjektivt personvernsensitive.
Elektronisk kommunikasjon i private saker
E-post, MMS, SMS, talemeldinger, chatmeldinger og lignende elektronisk kommunikasjon av rent privat karakter er eksempler på subjektive personvernsensitive personopplysninger. Dette skyldes at den registrerte kan føle at hans eller hennes personvern krenkes hvis en annen person forstyrrer hans eller hennes private kommunikasjon med andre personer.
Stedsdata
Mange mennesker føler seg ubehagelige å bli bevoktet av for eksempel å være lokalisert. Det samme gjelder å bli filmet når du går inn og ut av hjemmet, for eksempel gjennom et kamera montert på naboens inngangsdør.
Ytelse i arbeidet
Informasjon om en persons prestasjoner på arbeidsplassen utgjør vanligvis personopplysninger av subjektiv personvernsensitiv karakter.
Er det spesifikke regler i GDPR om subjektive personvernsensitive personopplysninger?
Nei, det finnes ingen spesifikke regler i GDPR. Det er imidlertid bestemmelser som omhandler behandling av personopplysninger som kan oppfattes som personvernsensitive av de registrerte. Dette skyldes at det kan ha innvirkning på den praktiske gjennomføringen av behandlingen og sikkerhetstiltakene.
Et brudd på personopplysningssikkerheten som involverer subjektivt personvernsensitive personopplysninger, kan ha betydning for enhver underretning til den nasjonale personvernmyndigheten. I tillegg kan det bety at de registrerte som er berørt av bruddet, må informeres om hendelsen. I den form som foretaket skal fylle ut når det underretter tilsynsmyndigheten om et brudd på personopplysningssikkerheten, oppstår det blant annet spørsmål om personopplysningene er knyttet til finansiell informasjon, for eksempel kredittkortopplysninger eller stedsdata, som utgjør subjektivt sensitive personopplysninger.
Må behandlingen av subjektive personvernsensitive personopplysninger innledes med en konsekvensanalyse?
Det kan være nødvendig med en konsekvensanalyse før behandlingen starter, men dette er ikke åpenbart som et direkte krav i GDPR-lovteksten. Bedrifter må gjennomføre en konsekvensanalyse før visse typer behandling av personopplysninger, og dette kan være nødvendig, for eksempel ved behandling av kredittkortnumre eller andre typer subjektive personvernsensitive personopplysninger.
Mer informasjon om personopplysninger
Behandling av sensitive personopplysninger
Den generelle regelen tillater ikke behandling av sensitive personopplysninger under GDPR, men det finnes noen unntak. Eksempler på sensitive personopplysninger er opplysninger om religiøs tilhørighet, politiske oppfatninger, opplysninger om helse, etc. Det er viktig å være klar over at reglene er strengere ved behandling av sensitive personopplysninger enn ”vanlige personopplysninger”. Spesielt må selskapet implementere tilstrekkelige og hensiktsmessige organisatoriske og tekniske sikkerhetstiltak for å beskytte de sensitive personopplysningene.