Utgångspunkten är att känsliga personuppgifter är förbjudna att behandla enligt artikel 9 GDPR. Regeln innehåller dock flera undantag som gör det okej att i vissa situationer behandla känsliga personuppgifter.
Behandling av särskilda kategorier av personuppgifter
Behandling av särskilda kategorier av personuppgifter regleras i art 9 i GDPR. Särskilda kategorier av personuppgifter innehåller sådana uppgifter som avslöjar en persons:
- ras eller etniska ursprung
- politiska åsikter
- religiösa eller filosofiska övertygelse
- medlemskap i fackförening
- behandling av genetiska och biometriska uppgifter för att entydigt identifiera en fysisk person
- uppgifter om hälsa
- uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Utgångspunkten är att behandling av dessa uppgifter ska vara förbjuden. Det finns dock ett antal undantag som kommer redogöras för här nedan.
Undantag från förbudet
I artikel 9.2 GDPR anges undantagen till huvudregeln, dvs. när särskilda kategorier av personuppgifter får behandlas. Särskilda kategorier av personuppgifter kan behandlas direkt utifrån dataskyddsförordningen om någon av följande punkter är uppfyllda:
Samtycke
- Den registrerade uttryckligen samtyckt till behandlingen av personuppgifter.
- Exempel: En arbetsgivare har ett tillfälligt behov av att behandla uppgifter om allergier i samband med måltid vid en personalaktivitet och den anställda har samtyckt till behandlingen.
- Kom ihåg: Samtycke kan inte användas till stöd för utlämnande av uppgifter som är till nackdel för den anställda, utan bör endast förekomma för utlämnanden som är den anställda till fördel.
Grundläggande intresse
- Om behandlingen är nödvändig för att skydda grundläggande intressen för en registrerad eller en annan person, i en situation som denne själv har ett fysiskt eller juridiskt hinder för att lämna samtycke.
- Exempel: Att behandla känsliga personuppgifter vid en nödsituation där en person behöver akutvård. Vård och räddningstjänst får då behandla personuppgifter för att kontrollera blodgrupp och sjukdomshistoria eller för att exempelvis kontakta anhöriga.
Berättigad verksamhet
- När personuppgifter behandlas inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en förening, stiftelse eller annat icke vinstdrivande organ, som har ett politiskt, filosofisk, religiöst eller fackligt syfte.
- Exempel: Ett trossamfund kan få behandla känsliga personuppgifter utan samtycke inom ramen för dess verksamhet, då en persons tillhörighet till ett visst trossamfund avslöjar vilken religiös övertygelse medlemmen har.
- Uppgifterna som behandlas kan då handla om medlemmar, tidigare medlemmar eller andra personer trossamfundet har regelbunden kontakt med på grund av föreningens syfte. Dock krävs det samtycke om man ska lämna ut känsliga personuppgifter om en medlem till någon annan. Detsamma gäller för politiska partier och olika föreningar.
Offentliggjorda uppgifter
- När behandlingen gäller personuppgifter, som den registrerade själv uttryckligen har offentliggjort, till exempel genom att publicera dem på internet.
- Exempel: Om någon publicerar information på sin publika hemsida anses uppgifterna offentliggjorda.
- Kom ihåg: Att delta på möte som anordnats av en fackförening räcker dock inte för att en person tydligt ska anses ha offentliggjort sitt medlemskap i en fackförening. Om personen däremot åtagit sig att utåt representera den fackliga organisationen kan det dock ses som att personen uttryckligen offentliggjort uppgiften.
Rättsliga anspråk
- När behandlingen behövs för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk.
- Exempel: Det kan vara tillåtet att behandla personuppgifter i situationer när uppgifterna behövs som grund för uppsägning. Vid en verksamhetsövergång kan det också vara tillåtet att behandla känsliga personuppgifter i samband med att rättigheter och skyldigheter på grund av anställningsförhållande, övergår till en ny arbetsgivare. Ytterligare en situation där det kan vara tillåtet att behandla känsliga personuppgifter är i samband med arbetsrättsliga tvister.
Fler undantag, där särskild reglering krävs
Det finns också ett antal undantag i artikel 9 som kräver att det finns en annan, mer preciserad reglering, utöver GDPR som utgör grund för att behandlingen av känsliga personuppgifter ska vara laglig. Detta innebär att undantaget måste vara reglerat i en annan lagstiftning för att det ska vara möjligt att tillämpa. Det kan exempel röra sig om att undantaget är reglerat inom arbetsrätten eller inom hälso- och sjukvårdslagstiftning. Här nedan följer en redogörelse för undantagen och exempel på när detta kan vara aktuellt:
Arbetsrätt
- Behandling är nödvändig för att kunna fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd. Detta gäller i den utsträckning det är tillåtet enligt unionsrätten, en medlemsstats lagstiftning eller enligt ett kollektivavtal.
- Exempel: Det kan det vara nödvändigt att behandla uppgifter om anställdas frånvaro vid sjukdom för att kunna beräkna sjuklön eller för att inleda en rehabiliteringsutredning.
- Exempel: Om behandlingen av en uppgift om fackligt medlemskap är nödvändig för att arbetsgivaren ska kunna fullgöra sin förhandlingsskyldighet enligt lagen om medbestämmande i arbetslivet
Allmänt intresse
- När behandling är viktig för att skydda ett allmänt intresse utifrån unionsrätten eller en medlemsstats lagstiftning.
- Exempel: Uppgifter av allmänt intresse kan vara privat hälso- och sjukvård, privat skolverksamhet, kollektivtrafik, järnvägstrafik och flygtrafik. Dessa kan ha lagstöd i exempelvis järnvägs- eller skollagen.
Hälso- och sjukvård
- När behandling är nödvändig av skäl som har med hälso- och sjukvård att göra.
- Exempel: För att bedöma en arbetstagares kapacitet, för att tillhandahålla hälso- och sjukvårdstjänster och inom social omsorg. Förutsättningen här är att uppgifterna behandlas enbart av en yrkesverksam person eller av någon som är bunden av lagstadgad sekretess.
Folkhälsoområdet
- När behandling är nödvändig av skäl av allmänt intresse på folkhälsoområdet utifrån unionsrätten eller en medlemsstats lagstiftning.
- Exempel: Att uppgifter om att någon drabbats av exempelvis coronavirus (covid-19) ges ut till samordnande myndigheter i ett led att försöka kartlägga spridning är okej. Att behandlingen ska vara nödvändig uppfylls av det faktum att behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan.
Arkivändamål
- När behandling är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt dataskyddsförordningen utifrån unionsrätten eller en medlemsstats lagstiftning. För att det ska vara okej att behandla uppgifterna krävs att rätten ska stå i proportion till det eftersträvade syftet samt vara förenligt med det väsentliga innehållet i rätten till dataskydd.
- Exempel: Känsliga personuppgifter behandlas för arkivändamål för att den personuppgiftsansvariga ska kunna följa föreskrifter om skyldighet att arkivera.
Sammanfattning
Sammanfattningsvis kan alltså konstateras att som huvudregel får särskilda kategorier av personuppgifter (kallas ibland ”känsliga personuppgifter”) inte behandlas. Det finns dock ett antal situationer där det är tillåtet att behandla sådana personuppgifter. Viktigt att komma ihåg är dock att även om det finns ett undantag från förbudet krävs det också att behandlingen kan stödja sig på en laglig grund samt att det uppfyller övriga krav i GDPR.