Ett personnummer anses utgöra en personuppgift, vilket gör att personuppgiften ska hanteras i enlighet med GDPR och annan kompletterande lagstiftning i nationell rätt. Hantering av personnummer kan förekomma på olika sätt. De kan behandlas exempelvis i mail, lönerapporter, anställningsavtal eller sjukdomsrelaterade dokument. Något som en kanske inte vet är att ett personnummer anses utgöra en integritetskänslig uppgift, även kallad en extra skyddsvärd personuppgift. I detta blogginlägg går vi igenom när personnummer får behandlas och hur dessa ska behandlas i enlighet med gällande rätt.

 

Varför kräver personnummer särskild hantering?

Personnummer regleras inte särskilt i GDPR, men GDPR lämnar vissa områden öppna för EU-länderna att själva reglera. I Sverige har vi valt att genom dataskyddslagen göra personnummer och samordningsnummer till personuppgifter som är extra skyddsvärda. Det innebär att personnummer måste behandlas på ett särskilt sätt och att där finns fler krav för att utföra en behandling som innehåller personnummer lagligt. Dessa krav gäller utöver de regler som ställs upp för ”ordinära” personuppgifter.

 

När får man behandla personnummer?

Huvudregeln är att personnummer endast får behandlas om personen har givit sitt samtycke till behandlingen, d.v.s. aktivt tackat ja. Det finns dock undantag till när din organisation får behandla personnumret även om personen inte givit sitt samtycke. Dessa undantag är:

  • När det är klart motiverat med hänsyn till vikten av en säker identifiering;
  • När det är klart motiverat med hänsyn till ändamålet med behandlingen;
  • När det är klart motiverat med hänsyn till något annat beaktansvärt skäl.

De övriga kraven som följer av GDPR gäller även här. Ni måste därmed även ha en rättslig grund att stödja personuppgiftsbehandlingen på (samtycke, avtal, rättslig förpliktelse, skydda grundläggande intressen, myndighetsutövning eller uppgift av allmänt intresse, intresseavvägning) samt följa de övriga principerna i GDPR för en lagenlig personuppgiftsbehandling.

 

Hur ska dessa behandlas?

Eftersom personnummer anses vara en extra skyddsvärd uppgift ska de exponeras så lite som möjligt. De får till exempel inte visas i kuvertfönster eller liknande. Det är även viktigt att göra en bedömning av om personnummer faktiskt behövs. Kanske räcker det med födelsedatum? Undersök därför i vilka sammanhang ni behandlar personnummer. Kontrollera om ni verkligen behöver personnumret för just den personuppgiftsbehandlingen. Se till syftet med behandlingen om det är nödvändigt att behandla personnummer. Om ni inte har personens samtycke till behandlingen behöver ni även se till att er användning är klart motiverad med hänsyn till något av undantagen ovan.

 

Personnummer i föreningar och medlemsorganisationer

Det är vanligt att föreningar och medlemsorganisationer har listor på sina medlemmar med tillhörande personnummer. I många fall finns dessa listor publicerade på föreningens hemsida, eller exempelvis i samband med en idrottstävling. I många situationer kan det finnas ett syfte med att behandla personnummer i medlemsorganisationer, exempelvis är det ibland möjligt att få bidrag från kommunen för medlemmar i en viss ålder. Det kan dock vara en fördel att se över hur personnummer behandlas och om det är motiverat.

 

Andra personuppgifter som också kräver särskild hantering enligt GDPR

Det är inte bara personnummer som kräver särskild hantering, utan även s.k. ”känsliga uppgifter”. För att lära dig mer om hur dessa ska hanteras kan du klicka dig in här.

 

Hanterar ni personnummer?

Vi på GDPR Hero hjälper er gärna med hur ni kan hantera personuppgifter på ett korrekt sätt! Kontakta oss gärna på support@gdprhero.se eller 046 – 273 17 17. Vill ni veta hur ni kan underlätta ert GDPR-arbete? Boka en demo av verktyget GDPR Hero idag!

Victoria Limnefelt Nygren

support@gdprhero.se

046 -273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This