Kunskap om GDPR

Personnummer är extra skyddsvärda personuppgifter

Personnummer är extra skyddsvärda personuppgifter, men de är inte klassade som känsliga personuppgifter enligt artikel 9 i GDPR. Observera dock att reglerna om detta kan skilja sig åt mellan de olika medlemsstaterna.

Samtycke brukar vara nödvändigt för att få behandla personnummer

I de flesta fall behöver ett företag få ett giltigt samtycke från den registrerade för att få behandla dennes personnummer. Däremot finns det undantag. Till exempel om det är nödvändigt att genomföra behandlingen för en säker identifiering.

Exempelvis när en person ringer till sin bank och ska legitimera sig genom ett så kallat Mobilt Bank-ID, och samtalet spelas in, där inringaren muntligen anger sitt personnummer till bankmannen.

Särskilda regler och lagar

Det kan finnas särskilda regler och lagar som tillåter en aktör att behandla personnummer, även när personnummer är extra skyddsvärda personuppgifter. Vid sådana fall sker behandlingen av personnumret med stöd i rättslig förpliktelse som den lagliga grunden enligt artikel 6(1)(c) i GDPR.

Reglerna kring behandling av personnummer kan skilja sig beroende på medlemsland

Länderna där GDPR gäller kan ha olika regler gällande behandling av personnummer. I Sverige är personnummer offentliga uppgifter. Personnummer förekommer i offentliga handlingar som till exempel folkbokföringsuppgifter, deklarationer etc. Kort sagt innebär detta att vem som helst kan begära ut personnummer från en myndighet i Sverige, förutsatt att det inte gäller någon särskild sekretess i det enskilda fallet. Detta gäller både personnummer och samordningsnummer. Detta hör dock till det ovanliga i medlemsländerna i EU.

I Finland är reglerna nämligen helt annorlunda, där en person som vill ha tillgång till sitt eget personnummer till och med måste legitimera sig hos en specifik myndighet (troligen med ett ID från ett annat land, eftersom personnumret framgår på den Finska ID-handlingen). Med andra ord kan inte andra i samhället få ut personnumret om en annan person.

Undvik att exponera personnummer eller samordningsnummer

Om personnummer är en extra skyddsvärd personuppgift i ett EU-land där behandlingen av det sker, ska personnumret i fråga bli exponerat så lite som möjligt. Med andra ord ska man inte inkludera personnumret på till exempel ett kuvertfönster som är synligt, i ämnesraden av ett e-postmeddelande etc.

Bra att göra en konsekvensbedömning innan behandlingen av personnummer eller samordningsnummer

I och med att personnummer är extra skyddsvärda personuppgifter samt en integritetskänslig personuppgift, kan det vara lämpligt att göra en konsekvensbedömning innan behandlingen blir utförd.

Får arbetsgivare behandla personnummer tillhörande sina anställda?

Det korta svaret på frågan är, att det beror på omständigheterna. Om behandlingen är motiverad i förhållande till syftet, är det tillåtet för arbetsgivare att behandla personnummer tillhörande sina anställda. Det är dock viktigt att tänka på att inte exponera personnummer i onödan, eftersom personnummer är extra skyddsvärda personuppgifter.

Mer info om GDPR

Subjektivt integritetskänsliga uppgifter

I GDPR står det reglerat tydligt om känsliga personuppgifter (Artikel 9 i GDPR) och personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott i (Artikel 10 i GDPR). Detsamma gäller däremot inte subjektivt integritetskänsliga uppgifter, som kan vara svårare att definiera i vissa fall. Exempel på subjektivt integritetskänsliga uppgifter är lokaliseringsuppgifter (GPS) och bankkontouppgifter. Kort sagt handlar subjektivt integritetskänsliga uppgifter om sådana uppgifter som kan kännas integritetskänsliga för den registrerade. Med andra ord, handlar det om den registrerades upplevelse. Sådana uppgifter ska bli behandlade med högre säkerhet än till exempel namn eller andra ”vanliga personuppgifter”.