GDPR syftar till att skydda personuppgifter och reglera hur uppgifterna får behandlas. Artikel 9.1 i GDPR berör behandling av en särskild kategori av personuppgifter och sätter upp ett förbud för att behandla dessa om inte några av tillhörande undantag är uppfyllda. Detta blogginlägg syftar till att klargöra om matpreferens är en sådan uppgift att den kan anses som känslig.
Särskild kategori av personuppgifter
Vad som anses utgöra en personuppgift beskrivs i artikel 4.1 GDPR som att vara en eller flera faktorer som är specifika för en person. Det kan bland annat röra sig om personens fysiska, ekonomiska, psykiska, kulturella eller sociala identitet. Med andra ord kan man beskriva personuppgifter som information som direkt eller indirekt kan knytas till en levande person.
Utöver definitionen ovan finns det i artikel. 9.1 en särskild kategori av personuppgifter att ta hänsyn till. Kategorin benämns också som känsliga uppgifter. Artikeln säger att behandling av personuppgifter som avslöjar känsliga uppgifter är förbjudet. Till exempel kan det handla om behandling av personuppgifter gällande etniskt ursprung, religion och hälsa.
Är matpreferens en känslig uppgift?
Det finns inget tydligt reglerat om huruvida en matpreferens är en känslig uppgift eller inte. Men eftersom en personuppgift kan vara all slags information som både direkt och indirekt kan kopplas till en person finns det utrymme för diskussion. Det är alltså möjligt att matpreferenser kan utgöra sådan indirekt information som kan kopplas till bland annat etniskt ursprung, religion eller hälsa.
För att förtydliga det kommer här ett exempel. Tänk er att det ska hållas en sammankomst på en arbetsplats för alla kollegor där det ska bjudas på mat och dryck. Inför sammankomsten har man samlat in uppgifter om de anställda har någon särskild matpreferens. En person har därför angett att man har en viss matpreferens. Till exempel att man inte dricker alkohol, inte äter fläskkött eller har en allvarlig nötallergi o.s.v. Dessa uppgifter som lämnas av den registrerade, det vill säga en anställd, kan i kombination med andra uppgifter vara tillräckliga för att identifiera den personen.
Därmed kan slutsatsen dras att en matpreferens kan utgöra en känslig uppgift, eftersom informationen kan leda till att man kan dra slutsatser om den registrerades religiösa övertygelse, hälsotillstånd eller etniska ursprung. När får man behandla känsliga uppgifter? Förbudet om att behandla känsliga uppgifter kan brytas om man uppfyller något av de undantag som finns i artikel 9.2.a-j GDPR.
De undantag som framgår direkt av artikeln är:
- När den registrerade har lämnat ett uttryckligt samtycke.
- När det är nödvändigt inom arbetsrätten, social trygghet och socialt skydd.
- När det föreligger fysiskt eller rättsligt förhinder för den registrerade att ge sitt samtycke.
- Inom vissa ideella organisationer.
- När uppgifterna på ett tydligt sätt redan är offentliggjorda av den registrerade själv.
- Om det behövs för rättsliga anspråk eller inom domstolarnas dömande verksamhet.
- När det är nödvändigt för ett viktigt allmänt intresse.
- Inom hälso- och sjukvård samt social omsorg.
- På folkhälsoområdet.
- För arkivändamål, forskningsändamål och statistiska ändamål.
Viktigt att ta med sig i bedömningen om undantagen är uppfyllda är att de andra krav som finns i GDPR lagstiftningen också behöver vara uppfyllda.1
Krävs samtycke för behandling av matpreferens?
Med utgångspunkt i att matpreferens kan utgöra en känslig uppgift i artikel 9.1 blir nästa fråga att besvara om det krävs samtycke från den registrerade för att behandla uppgiften. Undantaget samtycke i artikel 9.2.a säger att behandling är tillåten om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av uppgifterna för ett eller flera specifika ändamål.
Vad som utgör ett samtycke definieras i artikel 4.11 som förklarar att det är varje slag av frivillig, specifik och informerad viljeyttring som den registrerade lämnar genom uttalande eller en entydig bekräftande handling.
De villkor som måste vara uppfyllda för att ett giltigt samtycke ska anses finnas hittar vi i artikel 7. Det rör sig självfallet om att behandlingen ska grunda sig på samtycke, men också att man måste kunna bevisa att samtycket faktiskt finns. En viktig förutsättning är att samtycket ska grunda sig på frivillighet. Om samtycket rör andra frågor, mer än bara matpreferenser i detta fall, ska det även tydligt särskiljas från de andra. Dessutom ska man ha rätt att återkalla sitt samtycke.
Eftersom matpreferenser kan utgöra en känslig uppgift så krävs det också att något av undantagen för laglig behandling av uppgiften är uppfyllda. Samtycke kan utgöra ett lagligt undantag men behöver troligen inte vara det enda. När det kommer till samtycke som rättslig grund och undantag i detta fall, är det alltid lämpligt att fråga sig om någon av de andra undantagen är mer lämpade i den aktuella situationen.
Kan andra grunder finnas för behandling?
Det är svårt att hitta en annan tydlig laglig grund för behandling av matpreferenser. Men en grund att diskutera är när den registrerade har på eget initiativ och på ett tydligt sätt redan offentliggjort personuppgiften. Detta undantag finns i artikel 9.2.e. Det kan röra sig om att en person har framträtt i tv eller delat med sig på sociala medier och webbsidor av dessa uppgifter. Viktigast i denna bedömning om det anses vara ett lagligt undantag är vilken avsikt som personen haft med sitt offentliggörande. Den som deltar i ett sammanträde på sin arbetsplats där det bjuds på mat har sannolikt inte haft som avsikt att dela med sig offentligt om sin religion, hälsa eller sitt etniska ursprung.2 Därför kan ett samtycke å andra sidan tyckas bli aktuellt.
En annan laglig grund att diskutera är om det är nödvändigt för ett viktigt allmänt intresse i artikel 9.2.g. I detta fall ska det röra sig om verksamhet som innefattar myndighetsutövning. Utöver den specifika myndighetsutövningen som verksamheten utför ska även myndighetens behandling utanför ses som ett viktigt allmänt intresse. Förutsatt att den behandlingen sker för att kunna bedriva sin verksamhet och faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.3
Myndigheter kan därför försöka att argumentera för att detta kan utgöra en laglig grund. Men det är svårt att se att behandling av matpreferenser skulle kunna kopplas till ett måste för att driva verksamheten. Dessutom måste myndighetsutövningen ha stöd i lag, förordning eller annan författning.4 Kopplingen mellan behandling av matpreferenser och ett viktigt allmänt intresse kan därför sägas vara svag.
Sammanfattning
Det går att säga att en matpreferens kan utgöra en känslig uppgift och ska därför vara förbjuden att behandla enligt bestämmelserna i GDPR. Men det finns undantag som gör det tillåtet att ändå behandla en sådan uppgift. Samtycke är ett giltigt undantag till laglig behandling av särskilda kategorier av personuppgifter. Det är också den grund som kan lämpa sig bäst vid behandling av matpreferenser. Viktigt att ta med sig är dock att även fast det föreligger ett undantag för att behandla känsliga uppgifter måste den registrerade fortfarande informeras om hur dess personuppgifter hanteras och vilka rättigheter individen har.5
GDPR är en omfattande förordning som är relativt ny vilket gör att mycket händer på området. Vår blogg fokuserar på vad som är aktuellt och vill du prenumerera på den kan du göra det här.
Fotnoter
- IMY, https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/kansliga-personuppgifter/nar-far-ni-behandla-kansliga-personuppgifter/.
- IMY, https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/kansliga-personuppgifter/nar-far-ni-behandla-kansliga-personuppgifter/.
- Proposition 2017/18:105 s. 83.
- IMY, https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig-grund/myndighetsutovning-och-uppgifter-av-allmant-intresse/.
- IMY, https://www.imy.se/privatperson/dataskydd/dina-rattigheter/ratt-till-information/.
