GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

GDPR - Personuppgifter

Känsliga Personuppgifter

Det är enligt huvudregeln i GDPR förbjudet för privata aktörer att behandla personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. Däremot kan det vara tillåtet att behandla personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott i vissa fall, genom tillämpligt undantag från huvudregeln.

Följande utgör de känsliga personuppgifterna:

  1. Ras eller etniskt ursprung, 
  2. Politiska åsikter, 
  3. Religiös eller filosofisk övertygelse,
  4. Medlemskap i fackförening, 
  5. Genetiska uppgifter, 
  6. Biometriska uppgifter för att entydigt identifiera en fysisk person, 
  7. Hälsa, samt
  8. Sexualliv eller sexuell läggning.

Är det förbjudet att behandla känsliga personuppgifter enligt huvudregeln?

Ja, det är förbjudet och därmed inte tillåtet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 i GDPR. Men det finns några undantag från huvudregeln, som kan göra det tillåtet att behandla känsliga personuppgifter i vissa fall. 

Vilka är säkerhetskraven vid behandling av känsliga personuppgifter?

Vid behandling av känsliga personuppgifter måste företaget vidta bättre tekniska och organisatoriska säkerhetsåtgärder, än vid behandling av ”vanliga personuppgifter”. Även personuppgifter som inte är känsliga, men som anses vara integritetskänsliga, måste bli behandlade med högre säkerhet än andra “vanliga personuppgifter”. 

What breaches of the GDPR can lead to an administrative fine?

Exempel på vad som inte utgör känsliga personuppgifter:

  • Bankkontouppgifter,
  • Uppgifter om brott eller lagöverträdelser,
  • Personnummer.

Uppgift om hälsa är känsliga personuppgifter som arbetsgivare behandlar

Arbetsgivare behöver ofta behandla uppgifter om hälsa tillhörande de anställda. Till exempel information om sjukfrånvaro eller funktionsnedsättning. Dessutom brukar sjukfrånvaro framgå i lönespecifikationer, vilket innebär att lönespecifikationen ska bli behandlad med tillräckligt hög säkerhet. Därför bör en arbetsgivare exempelvis inte skicka lönespecifikationen via okrypterad mejl. 

När är det tillåtet att behandla känsliga personuppgifter?

Artikel 9(2) i GDPR innehåller en lista på tio stycken undantag, som gör det tillåtet att behandla känsliga personuppgifter. Detta innebär att om något av undantagen är tillämpligt, kan de känsliga personuppgifterna bli behandlade, trots förbudet enligt huvudregeln i artikel 9(1) i GDPR. Nedan följer en lista av de 10 undantagen för behandling av känsliga personuppgifter. 

Sensitive personal data according to GDPR

Uttryckligt samtycke (Artikel 9(2)(a) i GDPR)

Om den registrerade har lämnat ett uttryckligt samtycke till behandlingen av känsliga personuppgifter som tillhör denne, får uppgifterna ifråga bli behandlade med stöd i detta undantag.

What is the definition of anonymised data?

Arbetsrätt, social trygghet eller socialt skydd (Artikel 9(2)(b) i GDPR)

Ifall behandlingen av de känsliga personuppgifterna är nödvändig enligt lag inom arbetsrätten eller kollektivavtal, kan det ske med stöd i detta undantag. Detta gäller dock endast under förutsättning att lämpliga skyddsåtgärder vidtas i samband med behandlingen.

Subjektivt integritetskänsliga personuppgifter

Grundläggande intresse (Artikel 9(2)(c) i GDPR)

Det är tillåtet att behandla känsliga personuppgifter, om det är nödvändigt för att rädda liv. Vid sådana fall är den rättsliga grunden för behandlingen skyddande av grundläggande intresse enligt artikel 6(1)(d). Till exempel kan ett sjukhus behöva ta ett blodprov på en medvetslös person som förts till akuten, för att kunna ge personen rätt blodtyp. I och med att det utgör uppgifter om hälsa, är det en känslig personuppgift. Däremot får detta undantag inte användas om den registrerade kan lämna sitt samtycke, såsom om personen har bokat in ett besök hos en läkare och kan lämna sitt samtycke.

Measures that companies need to take to comply with GDPR

Ideell organisation (Artikel 9(2)(d) i GDPR)

Känsliga personuppgifter kan behandlas inom en ideell organisation, under förutsättning att dessa endast avser medlemmarna eller andra personer som har en regelbunden kontakt med organisationen, och de känsliga personuppgifter inte sprids utanför organisationen. Exempelvis kan detta undantag bli använt av en politisk, religiös eller facklig organisation som är ideell.

Tydligt offentliggjorts av den registrerade (Artikel 9(2)(e) i GDPR)

Om de känsliga personuppgifterna tydligt har blivit offentliggjorda av den registrerade själv, kan de bli behandlade med stöd i detta undantag. Till exempel om en individ ställer upp som en kandidat i ett val för ett politiskt parti och öppet deltar i intervjuer, debatter och i övrigt är offentligt politiskt aktiv.

What is the definition of anonymised data?

Fastställa, göra gällande eller försvara rättsliga anspråk (Artikel 9(2)(f) i GDPR)

Om det är nödvändigt att behandla de känsliga personuppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, är det tillåtet att behandla dem. Det är även tillåtet för domstolar att behandla känsliga personuppgifter som en del av deras dömande verksamhet.

Sensitive personal data according to GDPR

Viktigt allmänt intresse (Artikel 9(2)(g) i GDPR)

Om behandlingen av de känsliga personuppgifterna är nödvändiga av viktigt intresse enligt lag, och behandlingen omfattas av lämpliga skyddsåtgärder, är behandlingen tillåten enligt detta undantag. Exempelvis kan statliga myndigheter behandla känsliga personuppgifter för att kontrollera eller utreda eventuella bidragsfusk. Myndigheter kan även i vissa fall behöva behandla känsliga personuppgifter som en del i sin bakgrundskontroll. Exempelvis uppgifter om lagöverträdelser, hälsa eller politisk extremism, för att bedöma om en individ är lämplig att arbeta inom säkerhetsklassade yrken, såsom polis.

Subjektivt integritetskänsliga personuppgifter

Hälso- och sjukvård eller social omsorg (Artikel 9(2)(h) i GDPR)

Ifall det enligt lag eller avtal är nödvändigt att behandla känsliga personuppgifter för att utföra hälso- och sjukvård eller social omsorg, bedömning av behandling och arbetsförmåga, kan det ske genom detta undantag. Dock måste sekretess tillämpas och särskilda skyddsåtgärder vidtas.

Measures that companies need to take to comply with GDPR

Folkhälsoskäl (Artikel 9(2)(i) i GDPR)

Detta undantag innebär att om behandlingen av de känsliga personuppgifterna behöver ske av folkhälsoskäl, kan det ske, med lämpliga tekniska och organisatoriska skyddsåtgärder. Till exempel för att säkerställa kvalitet inom läkemedel eller skydda mot allvarliga gränsöverskridande hot mot hälsan.

Arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning eller statistik (Artikel 9(2)(j) i GDPR)

Om känsliga personuppgifter behöver bli behandlade för arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning eller statistik i enlighet med artikel 89 i GDPR, kan det ske genom detta undantag, förutsatt att lämpliga skyddsåtgärder vidtas.

Mer info om Personuppgifter

Behandla personuppgifter om lagöverträdelser

Enligt huvudregeln är det förbjudet att behandla personuppgifter om lagöverträdelser, såvida det inte sker av en brottsbekämpande myndighet. Däremot får länderna i EU själva reglera hur andra aktörer, såsom privata företag, får behandla sådana personuppgifter. Exempel på personuppgifter om lagöverträdelser är uppgifter gällande någon som har begått brott, domar i ett brottmål och straffrättsliga tvångsmedel, såsom reseförbud och beslut. 

Vill du lära dig mer?

Klicka här
Rulla till toppen