Information om Personuppgifter

Integritetskänsliga personuppgifter

Det finns fyra grupper av integritetskänsliga personuppgifter, men enbart två av dem har specialbestämmelser i GDPR. Vid behandling av dessa kategorier av personuppgifter är reglerna striktare. 

Fyra grupper av integritetskänsliga personuppgifter

De fyra grupperna av integritetskänsliga personuppgifter är följande:

  1. Känsliga personuppgifter (Artikel 9 i GDPR),
  2. Fällande domar i brottmål samt lagöverträdelser som innefattar brott (Artikel 10 i GDPR), 
  3. Personnummer; och 
  4. Subjektivt integritetskänsliga uppgifter.

Får företag behandla känsliga personuppgifter enligt GDPR?

Känsliga personuppgifter utgör en av grupperna av integritetskänsliga personuppgifter. Dessutom har känsliga personuppgifter specialbestämmelser i GDPR, där de kallas för “särskilda kategorier av personuppgifter”. Enligt huvudregeln i artikel 9 i GDPR är det förbjudet att behandla dessa särskilda kategorier av personuppgifter, men det finns undantag Det är inte ovanligt för företag att behandla känsliga personuppgifter. 

Uttryckligt samtycke

Om ett företag får ett uttryckligt samtycke för att behandla känsliga personuppgifter, kan det vara tillåtet enligt artikel 9(2)(a) i GDPR.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

De sex rättsliga grunderna

  • Samtycke
  • Avtal med registrerad
  • Berättigat intresse
  • Rättslig förpliktelse
  • Skydda grundläggande intressen
  • Myndighetsutövning och uppgift om allmänt intresse

Följande utgör de särskilda kategorierna av personuppgifter:

  1. Ras eller etniskt ursprung, 
  2. Politiska åsikter, 
  3. Religiös eller filosofisk övertygelse,
  4. Medlemskap i fackförening, 
  5. Genetiska uppgifter, 
  6. Biometriska uppgifter för att entydigt identifiera en fysisk person, 
  7. Hälsa, samt
  8. Sexualliv eller sexuell läggning.

Arbetsgivare brukar behandla uppgifter om hälsa

Arbetsgivare brukar behöva behandla uppgifter om de anställdas hälsa, såsom sjukfrånvaro, vilket utgör en känslig personuppgift. Observera att till exempel en lönespecifikation som innehåller information om sjukfrånvaro därför inte ska bli skickad via okrypterad mejl, eftersom det inte är tillräckligt säkert. Den rättsliga grunden för behandlingen brukar vara rättslig förpliktelse enligt arbetsrätten, enligt undantaget i artikel 9(2)(b). 

Personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott

Även fast personuppgifter om lagöverträdelser inte utgör känsliga personuppgifter enligt artikel 9 i GDPR, har denna typ av personuppgifter ett starkare skydd än andra personuppgifter. 

Vad är det som omfattas av personuppgifter om lagöverträdelser?

  • Brott som har begåtts, 
  • Misstanke om brott, 
  • Domar i brottmål, 
  • Straffrättsliga tvångsmedel (såsom häktning eller reseförbud).
It may be possible for data subjects to claim damages

Får företag lagra personuppgifter om lagöverträdelser för att göra rättsliga anspråk?

Ja, ett företag får i vissa fall behandla personuppgifter om lagöverträdelser för att göra rättsliga anspråk. Till exempel om en bank misstänker att en kund sysslar med penningtvätt. Den rättsliga grunden är vid sådana fall rättslig förpliktelse, eftersom banken har en rättslig skyldighet enligt lag att utreda och eventuellt göra en anmälan om misstanken kvarstår.

Dataskyddsmyndigheter få besluta om generella och enskilda undantag

GDPR har gett befogenheten för nationella dataskyddsmyndigheter att kunna meddela generella undantag för privata aktörer att få behandla personuppgifter om lagöverträdelser. I exempelvis Sverige har den nationella dataskyddsmyndigheten givit undantag för advokatverksamhet och visselblåsare som har ledande ställning eller en viktig position. Dessutom kan en enskild privat aktör få ett undantag efter en ansökan om att få utföra en sådan behandling. 

Personnummer är en integritetskänslig personuppgift

Det finns ingen specialbestämmelse i GDPR gällande reglerna kring behandlingar av personnummer. Däremot är de extra skyddsvärda i de flesta medlemsländerna i EU. Men personnummer utgör inte känsliga personuppgifter enligt artikel 9 i GDPR. 

Reglerna kan skilja sig åt mycket mellan olika medlemsländer

I Sverige är personnummer en offentlig handling som alla kan få tag på, vilket inte är vanligt i andra länder. I Finland är det istället en personuppgift som enbart myndigheter som behöver det i sitt arbete och personen som personnumret tillhör kan få ut. 

Subjektivt integritetskänsliga uppgifter

Det finns många personuppgifter som kan vara subjektivt integritetskänsliga uppgifter. Med andra ord, personuppgifter som individen upplever utgör ett integritetsintrång om de behandlas av någon annan. Till exempel lokaliseringsuppgifter (GPS), bankkontouppgifter och liknande. Det finns regler kring behandling av sådana personuppgifter, även fast det inte finns någon specifik bestämmelse i GDPR som reglerar detta. 

När ett företag ska anmäla en personuppgiftsincident till den nationella dataskyddsmyndigheten, ska företaget bland annat svara på incidenten omfattar någon sådan typ av personuppgift. Dessutom kan det vara nödvändigt att behöva göra en konsekvensbedömning innan man påbörjar en behandling av subjektivt integritetskänsliga uppgifter.

Mer kunskap om personuppgifter

Livscykeln för personuppgifter

Det finns tre centrala steg i livscykeln för personuppgifter, som är viktiga för företag att förstå för att följa GDPR. Det första steget handlar om att företaget får tillgång till personuppgifterna. Det andra steget handlar om företagets behandling av personuppgifterna efter insamlingen. I det slutliga steget, som handlar om upphörandet av behandlingen, behöver företaget säkerställa att personuppgifterna upphör att bli behandlade på korrekt sätt. Det finns många regler att följa inom varje steg inom livscykeln för personuppgifter.

Vill du lära dig mer?

Klicka här
Rulla till toppen