Information om Personuppgifter
Subjektivt integritetskänsliga personuppgifter
Subjektivt integritetskänsliga uppgifter är en av de fyra grupperna inom integritetskänsliga personuppgifter. Till skillnad från känsliga personuppgifter (Artikel 9 i GDPR) och personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott (Artikel 10 i GDPR), finns det inte någon direkt bestämmelse avseende subjektivt integritetskänsliga uppgifter i GDPR.
Hur påverkar registrerades upplevelse av integritetsintrång behandling av deras personuppgifter?
Den registrerade kan känna obehag, när någon annan behandlar vissa typer av personuppgifter som tillhör den registrerade. Detta innebär att behandlingen av sådana typer av personuppgifter påverkar den subjektiva upplevelsen hos den registrerade i fråga. Sådana typer av personuppgifter utgör därmed så kallade subjektivt integritetskänsliga personuppgifter.
Exempel på personuppgifter som kan vara subjektivt integritetskänsliga
Ekonomiska uppgifter
Bankkontouppgifter, kreditkortsnummer, skuldsättningsgrad, kreditvärdighet och andra ekonomiska personuppgifter är något som många individer känner obehag när de blir behandlade av obehöriga personer, eftersom det kan få stora konsekvenser. Inga uppgifter om ekonomi utgör känsliga personuppgifter enligt artikel 9 i GDPR, men kan vara subjektivt integritetskänsliga.
Elektronisk kommunikation gällande privata saker
E-postmeddelanden, MMS, SMS, röstmeddelanden, chattmeddelanden och liknande elektronisk kommunikation av rent privat natur, utgör exempel på subjektivt integritetskänsliga personuppgifter. Detta beror på att den registrerade kan känna att det utgör ett intrång i dennes integritet, om någon annan person tar del av dennes privata kommunikation med andra individer.
Lokaliseringsuppgifter
Många människor känner att det är obehagligt att bli bevakade genom att till exempel bli lokaliserade. Detsamma gäller att bli filmad när man går in och ut från sitt hem, genom till exempel en kamera monterad på grannens entrédörr.
Arbetsprestationer
Information om en individs arbetsprestationer utgör oftast personuppgifter av subjektivt integritetskänslig karaktär.
Finns det specifika regler i GDPR om subjektivt integritetskänsliga personuppgifter?
Nej, det finns inga uttryckliga specifika regler i GDPR om subjektivt integritetskänsliga personuppgifter. Men det finns bestämmelser som handlar om behandling av personuppgifter som kan uppfattas som integritetskänsliga av de registrerade. Detta beror på att det kan ha betydelse för behandlingens utförande i praktiken och säkerhetsåtgärderna.
En personuppgiftsincident som involverar subjektivt integritetskänsliga personuppgifter, kan ha betydelse för eventuell anmälan till den nationella dataskyddsmyndigheten. Dessutom kan det innebära att de registrerade som har blivit påverkade av incidenten behöver informeras om det inträffade. I den blankett som företaget ska fylla i vid sin anmälan av personuppgiftsincidenter till tillsynsmyndigheten, förekommer bland annat frågan om personuppgifterna rör finansiell information, såsom kreditkortsuppgifter eller lokaliseringsuppgifter, vilka utgör subjektivt integritetskänsliga personuppgifter.
Måste behandling av subjektivt integritetskänsliga personuppgifter föregås av en utförd konsekvensbedömning?
Det kan krävas att en konsekvensbedömning utförs innan behandlingen av subjektivt integritetskänsliga personuppgifter blir påbörjad, men det framgår inte som ett direkt krav i GDPR lagtexten. Företag måste göra en konsekvensbedömning innan vissa typer av personuppgiftsbehandlingar och det kan vara nödvändigt vid till exempel behandling av kreditkortsnummer eller andra typer av subjektivt integritetskänsliga personuppgifter.
Mer kunskap om personuppgifter
Behandling av känsliga personuppgifter
Enligt huvudregeln är det inte tillåtet att behandla känsliga personuppgifter enligt GDPR, men det finns några undantag. Exempel på känsliga personuppgifter är information om religiös tillhörighet, politiska åsikter, uppgifter om hälsa m.m. Det är viktigt att känna till att reglerna är striktare vid behandling av känsliga personuppgifter än ”vanliga personuppgifter”. Företaget behöver bland annat vidta tillräckliga och lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skydda de känsliga personuppgifterna.