Artikel 4 & 9 i GDPR

Personuppgifter

Alla företag som behandlar personuppgifter tillhörande individer som befinner sig inom EU/EES måste följa EU:s allmänna dataskyddsförordning (förkortat GDPR).

Definitionen av en personuppgift enligt GDPR

Något mycket centralt för att kunna följa bestämmelserna i GDPR, är förståelsen av vad personuppgifter är för något. Det finns nämligen många olika typer och kategorier av personuppgifter, utöver de mest självklara personuppgifterna. 

Definitionen av en personuppgift framgår i artikel 4(1) i GDPR. Där framgår det att en personuppgift är varje upplysning som direkt eller indirekt hänför sig till en identifierad eller identifierbar fysisk levande person. 

Dessutom utgör en upplysning om en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet också en personuppgift. 

Kort sagt omfattar GDPR alla typer av data som kan identifiera en fysisk levande individ, både direkt och indirekt.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Vem måste följa GDPR?

Denna förordning trädde i kraft den 25 maj 2018 och gäller i alla EU/EES-länder. Alla företag inom EU som behandlar personuppgifter måste följa GDPR. Den gäller även i många fall företag etablerade utanför EU/EES, bland annat om de erbjuder tjänster eller varor, kostnadsfritt eller mot betalning, till individer som befinner sig inom EU/EES-området.  

Tydliga och mindre tydliga personuppgifter

När det på något sätt går att koppla en uppgift till en fysiskt levande person, är det en personuppgift. Tänk på att även mindre tydliga uppgifter kan anses vara en personuppgift enligt GDPR. Det behöver inte nödvändigtvis vara en uppgift som direkt går att koppla till en person, utan det kan ske indirekt också. 

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Exempel på indirekt personuppgift

Om en individ har ett personligt busskort som går att spärra om denne uppger det borttappade kortets kortnummer till transportbolaget. För att transportbolaget ska veta vem kortet tillhör, har de ett system där det framgår vilken person kortet är registrerat på. Med andra ord går det att koppla kortnumret till personen genom en så kallad bakvägsidentifiering. Därför anses kortnumret vara en personuppgift. Samma resonemang gäller även för registreringsnummer tillhörande ett fordon som ägs av en privatperson, vilket därmed också är en personuppgift enligt GDPR.

  • Exempel på kategorier och typer av personuppgifter
  • Identifierande uppgifter: Namn, personnummer, passnummer, kund-ID.
  • Kontaktuppgifter: Postadress, e-postadress, telefonnummer.
  • Lokaliseringsuppgifter: IP-adress kopplad till en individ, GPS-koordinater.
  • Ekonomiska faktorer: Bankkontonummer, transaktions- och köphistorik, kreditvärdering.
  • Onlineidentifierare: Användarnamn till sociala medier, IMEI-nummer, MAC-adress, enhets-ID, cookies.
  • Övriga personuppgifter: diagnos från psykolog.
  • Fysiska faktorer: Fingeravtryck, genetiska uppgifter såsom DNA-prover.
  • Fysiologiska faktorer: Hjärtrytm som en smartklocka mäter.

Ju viktigare eller känsliga personuppgifterna är, desto högre är säkerhetskraven

Alla företag måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna företaget behandlar. Åtgärderna som bör vidtas varierar beroende på situationen, såsom vilka typer av personuppgifter det gäller. Ju viktigare personuppgifter, desto högre är säkerhetskraven. 

Till exempel behöver företag ha ett starkare skydd vid lagring av kreditkortsuppgifter, än vid lagring av e-postadresser. Dessutom kan företaget behöva göra en konsekvensbedömning innan de börjar att utföra vissa typer av behandlingar.

Fyra kategorier av integritetskänsliga personuppgifter

Det finns vissa särskilda kategorier av personuppgifter som enligt huvudregeln i artikel 9 i GDPR är förbjudna att behandla. Däremot finns det några undantag från huvudregeln. Dessa särskilda kategorier av personuppgifter är ibland kallade för “Känsliga personuppgifter”. 

  • Uppgifter som avslöjar information om följande utgör sådana Känsliga personuppgifter: 
  • Etniskt ursprung.
  • Politiska åsikter.
  • Religiös eller filosofisk övertygelse.
  • Medlemskap i fackföreningar.
  • Uppgifter om hälsa (såsom blodgrupp, sjukfrånvaro etc).
  • Sexuell läggning eller sexualliv.
  • Genetiska uppgifter.
  • Biometriska uppgifter (till exempel när man använder biometriska uppgifter för identifiering genom AI via övervakningskameror).

När det är tillåtet att behandla känsliga personuppgifter enligt GDPR

Behandling av känsliga personuppgifter är enligt huvudregeln i artikel 9(1) i GDPR förbjuden. Men i artikel 9(2) i GDPR listas 10 stycken undantag från huvudregeln, som anger när det är tillåtet att behandla känsliga personuppgifter:

Samtycke

Om den registrerade har samtyckt till behandlingen av dennes känsliga personuppgifter för ett eller flera specifika ändamål. Detta gäller dock under förutsättning att det inte är förbjudet att använda samtycket som laglig grund enligt den nationella rätten.

Arbetsrätten och på områdena social trygghet och socialt skydd

Om behandlingen är nödvändig för att arbetsgivaren eller den registrerade ska kunna utöva sina rättigheter och fullgöra skyldigheter inom arbetsrätt, social trygghet och socialt skydd. Detta gäller under förutsättning att det finns lämpliga skyddsåtgärder som säkerställer att den registrerades grundläggande rättigheter och intressen fastställs, samt att behandlingen är tillåten enligt nationell lag eller kollektivavtal.

Skyddande av grundläggande intresse

Om den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke till behandlingen (tex. medvetslös), men behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons liv.

Icke vinstdrivande organ

Stiftelse, ideell förening eller annat icke vinstdrivande organ med ett politiskt, filosofiskt, religiöst eller fackligt syfte, har rätt att behandla känsliga personuppgifter under förutsättning att behandlingen bara rör aktuella eller tidigare medlemmar, eller personer som har regelbunden kontakt med detta på grund av organets ändamål. Vid dessa fall ska lämpliga skyddsåtgärder vidtas och personuppgifterna får inte bli utlämnade externt, utan den registrerades samtycke.

Offentligt tillgängliga uppgifter

Om känsliga personuppgifter på ett tydligt sätt har offentliggjorts av den registrerade, är det tillåtet att behandla dem.

Rättsliga anspråk

Behandlingen är tillåten om den är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. Detsamma gäller ifall behandlingen utför en del av domstolarnas dömande verksamhet.

Viktigt allmänt intresse

Ifall behandlingen krävs för ett viktigt allmänt intresse, baserat på unionsrätt eller nationell rätt, och är proportionerlig till syftet, är behandlingen tillåten. Dock måste lämpliga och särskilda åtgärder vidtas, för att säkerställa den registrerades grundläggande rättigheter och intressen.

Hälso- och sjukvård samt social omsorg

Behandlingen är tillåten om den är nödvändig för medicinska syften. Exempelvis för bedömning av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg m.m. Detta gäller under förutsättning att behandlingen är tillåten enligt unionsrätt eller nationell rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att uppgifterna behandlas av yrkesutövare som omfattas av lagstadgad tystnadsplikt. Dessutom ska särskilda säkerhetsåtgärder tillämpas, såsom kryptering och åtkomstkontroller.

Folkhälsa och medicinskt skydd

Behandlingen får genomföras om det krävs för offentliga hälsoändamål. Exempelvis för att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan (såsom en pandemi). Detta gäller om behandlingen har stöd i EU-lagstiftning eller den nationella lagstiftningen. Dessutom ska det finnas särskilda skyddsåtgärder för att säkerställa skyddet av den registrerades rättigheter och friheter, särskilt tystnadsplikt.

Forskning, statistik och arkivering:

  • Behandlingen är tillåten om den är nödvändig för:
  • Arkivändamål av allmänt intresse (exempelvis lagring av offentlig eller historisk dokumentation),
  • Vetenskaplig forskning (exempelvis medicinska studier),
  • Historisk forskning (exempelvis studier om kultur eller historiska händelser), eller
  • Statistiska ändamål (exempelvis analys av trender i samhället genom statistik).

Detta gäller förutsatt att behandlingen har stöd i  EU-lagstiftning eller den nationella lagstiftningen i det enskilda medlemslandet i fråga. Behandlingen måste dock stå i proportion till ändamålet med behandlingen, vara förenlig med det väsentliga innehållet i rätten till dataskydd och omfattas av skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Företagsuppgifter är normalt inte personuppgifter

Observera att ett organisationsnummer tillhörande ett företag inte utgör en personuppgift. Uppgifter om företag omfattas nämligen normalt inte av GDPR. Däremot kan det vara en personuppgift om det avser en enskild näringsidkare, i de fall organisationsnumret är detsamma som ägarens personnummer. 

I vissa fall kan ett registreringsnummer på en bil vara en personuppgift och i andra fall är det inte det. Till exempel om bilägaren är ett företag, är det inte en personuppgift. Men om bilägaren är en privatperson, är det istället en personuppgift enligt GDPR.

Fler villkor

Något som är viktigt att känna till är att en medlemsstat kan behålla eller införa ytterligare villkor, även begränsningar, avseende behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Detta framgår i artikel 9(4) i GDPR. Bestämmelserna i GDPR utgör därmed grunden och minimikrav, därför är det viktigt för företag att även känna till eventuella avvikelser som gäller i enskilda relevanta medlemsstater.

Mer om GDPR

Skillnaden mellan subjektiva och objektiva personuppgifter

XXX

Vill du lära dig mer?

Klicka här
Rulla till toppen