GDPR - Personuppgifter

Känsliga Personuppgifter

In the GDPR there are certain personal data that are considered sensitive, often referred to as “sensitive personal data”, but in the GDPR they are referred to as “special categories of personal data”. When processing these sensitive personal data, the rules are stricter. The sensitive personal data are listed in Article 9 of the GDPR.

Följande utgör de känsliga personuppgifterna:

  1. Ras eller etniskt ursprung, 
  2. Politiska åsikter, 
  3. Religiös eller filosofisk övertygelse,
  4. Medlemskap i fackförening, 
  5. Genetiska uppgifter, 
  6. Biometriska uppgifter för att entydigt identifiera en fysisk person, 
  7. Hälsa, samt
  8. Sexualliv eller sexuell läggning.

Är det förbjudet att behandla känsliga personuppgifter enligt huvudregeln?

Ja, det är förbjudet och därmed inte tillåtet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 i GDPR. Men det finns några undantag från huvudregeln, som kan göra det tillåtet att behandla känsliga personuppgifter i vissa fall. 

Vilka är säkerhetskraven vid behandling av känsliga personuppgifter?

Vid behandling av känsliga personuppgifter måste företaget vidta bättre tekniska och organisatoriska säkerhetsåtgärder, än vid behandling av ”vanliga personuppgifter”. Även personuppgifter som inte är känsliga, men som anses vara integritetskänsliga, måste bli behandlade med högre säkerhet än andra “vanliga personuppgifter”. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Exempel på vad som inte utgör känsliga personuppgifter:

  • Bankkontouppgifter,
  • Uppgifter om brott eller lagöverträdelser,
  • Personnummer.

Uppgift om hälsa är känsliga personuppgifter som arbetsgivare behandlar

Arbetsgivare behöver ofta behandla uppgifter om hälsa tillhörande de anställda. Till exempel information om sjukfrånvaro eller funktionsnedsättning. Dessutom brukar sjukfrånvaro framgå i lönespecifikationer, vilket innebär att lönespecifikationen ska bli behandlad med tillräckligt hög säkerhet. Därför bör en arbetsgivare exempelvis inte skicka lönespecifikationen via okrypterad mejl. 

När är det tillåtet att behandla känsliga personuppgifter?

Artikel 9(2) i GDPR innehåller en lista på tio stycken undantag, som gör det tillåtet att behandla känsliga personuppgifter. Detta innebär att om något av undantagen är tillämpligt, kan de känsliga personuppgifterna bli behandlade, trots förbudet enligt huvudregeln i artikel 9(1) i GDPR. Nedan följer en lista av de 10 undantagen för behandling av känsliga personuppgifter. 

Uttryckligt samtycke (Artikel 9(2)(a) i GDPR)

Om den registrerade har lämnat ett uttryckligt samtycke till behandlingen av känsliga personuppgifter som tillhör denne, får uppgifterna ifråga bli behandlade med stöd i detta undantag.

Arbetsrätt, social trygghet eller socialt skydd (Artikel 9(2)(b) i GDPR)

Ifall behandlingen av de känsliga personuppgifterna är nödvändig enligt lag inom arbetsrätten eller kollektivavtal, kan det ske med stöd i detta undantag. Detta gäller dock endast under förutsättning att lämpliga skyddsåtgärder vidtas i samband med behandlingen.

Vital interest

Grundläggande intresse (Artikel 9(2)(c) i GDPR)

Det är tillåtet att behandla känsliga personuppgifter, om det är nödvändigt för att rädda liv. Vid sådana fall är den rättsliga grunden för behandlingen skyddande av grundläggande intresse enligt artikel 6(1)(d). Till exempel kan ett sjukhus behöva ta ett blodprov på en medvetslös person som förts till akuten, för att kunna ge personen rätt blodtyp. I och med att det utgör uppgifter om hälsa, är det en känslig personuppgift. Däremot får detta undantag inte användas om den registrerade kan lämna sitt samtycke, såsom om personen har bokat in ett besök hos en läkare och kan lämna sitt samtycke.

Ideell organisation (Artikel 9(2)(d) i GDPR)

Känsliga personuppgifter kan behandlas inom en ideell organisation, under förutsättning att dessa endast avser medlemmarna eller andra personer som har en regelbunden kontakt med organisationen, och de känsliga personuppgifter inte sprids utanför organisationen. Exempelvis kan detta undantag bli använt av en politisk, religiös eller facklig organisation som är ideell.

Periodic penalty payments

Tydligt offentliggjorts av den registrerade (Artikel 9(2)(e) i GDPR)

Om de känsliga personuppgifterna tydligt har blivit offentliggjorda av den registrerade själv, kan de bli behandlade med stöd i detta undantag. Till exempel om en individ ställer upp som en kandidat i ett val för ett politiskt parti och öppet deltar i intervjuer, debatter och i övrigt är offentligt politiskt aktiv.

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Fastställa, göra gällande eller försvara rättsliga anspråk (Artikel 9(2)(f) i GDPR)

Om det är nödvändigt att behandla de känsliga personuppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, är det tillåtet att behandla dem. Det är även tillåtet för domstolar att behandla känsliga personuppgifter som en del av deras dömande verksamhet.

Viktigt allmänt intresse (Artikel 9(2)(g) i GDPR)

Om behandlingen av de känsliga personuppgifterna är nödvändiga av viktigt intresse enligt lag, och behandlingen omfattas av lämpliga skyddsåtgärder, är behandlingen tillåten enligt detta undantag. Exempelvis kan statliga myndigheter behandla känsliga personuppgifter för att kontrollera eller utreda eventuella bidragsfusk. Myndigheter kan även i vissa fall behöva behandla känsliga personuppgifter som en del i sin bakgrundskontroll. Exempelvis uppgifter om lagöverträdelser, hälsa eller politisk extremism, för att bedöma om en individ är lämplig att arbeta inom säkerhetsklassade yrken, såsom polis.

Order the company to comply with GDPR within a certain period of time

Hälso- och sjukvård eller social omsorg (Artikel 9(2)(h) i GDPR)

Ifall det enligt lag eller avtal är nödvändigt att behandla känsliga personuppgifter för att utföra hälso- och sjukvård eller social omsorg, bedömning av behandling och arbetsförmåga, kan det ske genom detta undantag. Dock måste sekretess tillämpas och särskilda skyddsåtgärder vidtas.

It may be possible for data subjects to claim damages

Folkhälsoskäl (Artikel 9(2)(i) i GDPR)

Detta undantag innebär att om behandlingen av de känsliga personuppgifterna behöver ske av folkhälsoskäl, kan det ske, med lämpliga tekniska och organisatoriska skyddsåtgärder. Till exempel för att säkerställa kvalitet inom läkemedel eller skydda mot allvarliga gränsöverskridande hot mot hälsan.

An administrative fine

Arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning eller statistik (Artikel 9(2)(j) i GDPR)

Om känsliga personuppgifter behöver bli behandlade för arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning eller statistik i enlighet med artikel 89 i GDPR, kan det ske genom detta undantag, förutsatt att lämpliga skyddsåtgärder vidtas.

Mer info om Personuppgifter

Behandla personuppgifter om lagöverträdelser

Enligt huvudregeln är det förbjudet att behandla personuppgifter om lagöverträdelser, såvida det inte sker av en brottsbekämpande myndighet. Däremot får länderna i EU själva reglera hur andra aktörer, såsom privata företag, får behandla sådana personuppgifter. Exempel på personuppgifter om lagöverträdelser är uppgifter gällande någon som har begått brott, domar i ett brottmål och straffrättsliga tvångsmedel, såsom reseförbud och beslut. 

Vill du lära dig mer?

Klicka här
Rulla till toppen