Tillbaka till bloggens startsida

Hur ni kan behandla känsliga personuppgifter lagligt

21 juli 2021

I GDPR finns det olika regler för olika typer av personuppgifter som är viktiga att känna till. De personuppgifter som bedömts som känsliga förtjänar enligt GDPR ett extra skydd. Hur det extra skyddet ter sig kommer vi gå igenom i detta blogginlägg.

 

Huvudregel: känsliga personuppgifter får inte behandlas

De personuppgifter som i dagligt tal ofta benämns som ”känsliga” är de som i GDPR benämns ”särskilda kategorier av personuppgifter”. I GDPR finns det en uttömmande lista över vilka typer av personuppgifter som är känsliga. Dessa är:

  • Ras eller etniskt ursprung,
  • Politiska åsikter,
  • Religiös eller filosofisk övertygelse,
  • Medlemskap i fackförening,
  • Genetiska uppgifter,
  • Biometriska uppgifter,
  • Uppgifter om hälsa eller
  • Uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Dessa typer av personuppgifter har ansetts extra känsliga eftersom de kan innebära betydande risker för de grundläggande rättigheterna och friheterna.

Den typ av personuppgift som kan vålla extra huvudbry är biometriska uppgifter. Biometriska uppgifter rör en persons ”fysiska, fysiologiska eller beteendemässiga egenskaper”. Genom biometriska uppgifter är det möjligt att identifiera människor, till exempel genom fingeravtrycksavläsning när du startar din telefon eller dator. Uppgifter som kan vara biometriska uppgifter är inte alltid det, utan klassas enbart som biometriska uppgifter i vissa situationer. Till exempel är foton på människor bara biometriska uppgifter när de behandlas med teknik som möjliggör identifiering eller autentisering av en person.

I princip alla företag, myndigheter och organisationer behandlar känsliga personuppgifter på något sätt eller någon gång. Till exempel kanske ni ska ha en middag med era anställda, där ni samlar in uppgifter om allergier för att alla ska få rätt mat. Uppgiften om att en viss anställd är allergisk mot nötter är då en känslig personuppgift. Läs mer här.

Det finns särskilda bestämmelser i GDPR som reglerar känsliga personuppgifter. Dessa bestämmelser innebär att känsliga personuppgifter som huvudregel inte får behandlas. Det innebär i sin tur att ni som huvudregel inte får samla in uppgifter som betraktas som känsliga, till exempel att en viss anställd är allergisk mot nötter. Det är självklart så att många verksamheter måste behandla personuppgifter som anses känsliga. Det finns därför en hel del undantag till huvudregeln, det vill säga undantag som innebär att man får behandla känsliga personuppgifter. Undantagen återfinns dels i GDPR, dels i kompletterande dataskyddsbestämmelser. En del av dessa undantag kommer vi gå igenom under rubriken nedan.

Tänk även på att det ska göras en konsekvensbedömning om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter. Ni kan läsa mer om konsekvensbedömningar här.

 

Undantag mot förbudet

I artikel 9 i GDPR finns förutom förbudet mot att behandla känsliga personuppgifter även en uppräkning av så kallade undantag, d.v.s. situationer när känsliga personuppgifter får behandlas. Dessa undantag är sammanfattningsvis följande:

  1. Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål.
  2. Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd.
  3. Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, t.ex. om en person plötsligt blir sjuk och inte kan ge sitt samtycke.
  4. Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte.
  5. Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Viktigt att tänka på är att det måste finnas en avsikt att offentliggöra uppgifterna, t.ex. om någon i ett TV-program företräder ett visst politiskt parti.
  6. Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.
  7. Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt.
  8. Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system.
  9. Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet.
  10. Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Det finns även en bestämmelse i GDPR som stadgar att medlemsstaterna får behålla eller införa ytterligare villkor och begränsningar för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Det kan alltså även finnas bestämmelser i nationell rätt, som då går före vad som stadgas i GDPR. De villkor eller begränsningar som medlemsstaterna för in får dock inte hindra det fria flödet av personuppgifter inom unionen.

 

Utöver GDPR

Vissa av de undantag som nämns ovan kräver även stöd i svensk eller europeisk lagstiftning eller kollektivavtal för att undantaget ska kunna tillämpas. Detta gäller undantagen:

2) arbetsrätt, social trygghet och socialt skydd,
7) nödvändigt med hänsyn till ett viktigt allmänt intresse,
8) inom hälso- och sjukvården,
9) på folkhälsoområdet och
10) för arkivändamål, forskningsändamål och statistiska ändamål.

Mycket av den komplettering som krävs för att något av dessa undantag ska vara tillämpligt finns i dataskyddslagen, vilken är en svenskstiftad lag som kompletterar GDPR i Sverige. Glöm alltså inte att kontrollera undantaget mot dataskyddslagen!

Myndigheter: för myndigheter finns det ett antal undantag i dataskyddslagen, vilka innebär att myndigheter generellt har fler undantag att förlita sig på än privata verksamheter. Till exempel stadgar dataskyddslagen att…

  • Myndigheter får behandla känsliga personuppgifter om det behövs för offentlighetsprincipen.
  • Myndigheter får behandla känsliga personuppgifter för att kunna handlägga ärenden.

 

Känsliga personuppgifter – sanktionsavgift

Integritetsskyddsmyndigheten, dåvarande Datainspektionen, utfärdade den 11 maj 2020 en sanktionsavgift mot Hälso- och sjukvårdsnämnden i Region Örebro län. Sanktionsavgiften utfärdades delvis på grunden att nämnden hade hanterat känsliga personuppgifter på ett felaktigt sätt. De känsliga personuppgifter som nämnden hanterat bestod av uppgifter om att den registrerade är intagen på den rättspsykiatriska kliniken och att hen är föremål för urinprovstagning, vilket publicerats på regionens webbplats. Uppgiften att någon är intagen för rättspsykiatrisk vård avslöjar att personen kan lida av en allvarlig psykisk störning och uppgiften att någon är föremål för urinprovstagning kan avslöja att hen har eller har haft en drogproblematik. Detta är därför uppgifter om hälsa, vilka är känsliga enligt GDPR.

Som motivering till beslutet anförde Integritetsskyddsmyndigheten bl.a. att nämnden inte hade något undantag till förbudet att behandla känsliga personuppgifter. Att personuppgifterna var känsliga gjorde även att den publicering på webbplatsen som skett inte var att anse som en mindre överträdelse. Till följd av den felaktiga hanteringen ålades nämnden en sanktionsavgift om totalt 120 000 kr.

Läs hela beslutet här.

 

Frågor?

GDPR Hero är ett verktyg för att på ett smidigt sätt uppfylla olika krav som finns i GDPR. Boka gärna en demo här för att få se hur!

Har ni några GDPR-frågor i er verksamhet? Ring oss gärna på 046 – 273 17 17 eller mejla oss på info@gdphero.se!

Josefin Karlström

info@gdprhero.se

046 – 273 17 17

 

Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Loading...