Ett personnummer anses utgöra en personuppgift, vilket gör att personuppgiften ska hanteras i enlighet med GDPR och annan kompletterande lagstiftning i nationell rätt. Hantering av personnummer kan förekomma på olika sätt. De kan behandlas exempelvis i mail, lönerapporter, anställningsavtal eller sjukdomsrelaterade dokument. Något som en kanske inte vet är att ett personnummer anses utgöra en integritetskänslig uppgift, även kallad en extra skyddsvärd personuppgift. I detta blogginlägg går vi igenom när personnummer får behandlas och hur dessa ska behandlas i enlighet med gällande rätt.
Varför kräver personnummer särskild hantering?
Personnummer regleras inte särskilt i GDPR, men GDPR lämnar vissa områden öppna för EU-länderna att själva reglera. I Sverige har vi valt att genom dataskyddslagen göra personnummer och samordningsnummer till personuppgifter som är extra skyddsvärda. Det innebär att personnummer måste behandlas på ett särskilt sätt och att där finns fler krav för att utföra en behandling som innehåller personnummer lagligt. Dessa krav gäller utöver de regler som ställs upp för ”ordinära” personuppgifter.
När får man behandla personnummer?
Huvudregeln är att personnummer endast får behandlas om personen har givit sitt samtycke till behandlingen, d.v.s. aktivt tackat ja. Det finns dock undantag till när din organisation får behandla personnumret även om personen inte givit sitt samtycke. Dessa undantag är:
- När det är klart motiverat med hänsyn till vikten av en säker identifiering;
- När det är klart motiverat med hänsyn till ändamålet med behandlingen;
- När det är klart motiverat med hänsyn till något annat beaktansvärt skäl.
De övriga kraven som följer av GDPR gäller även här. Ni måste därmed även ha en rättslig grund att stödja personuppgiftsbehandlingen på (samtycke, avtal, rättslig förpliktelse, skydda grundläggande intressen, myndighetsutövning eller uppgift av allmänt intresse, intresseavvägning) samt följa de övriga principerna i GDPR för en lagenlig personuppgiftsbehandling.
Hur ska dessa behandlas?
Eftersom personnummer anses vara en extra skyddsvärd uppgift ska de exponeras så lite som möjligt. De får till exempel inte visas i kuvertfönster eller liknande. Det är även viktigt att göra en bedömning av om personnummer faktiskt behövs. Kanske räcker det med födelsedatum? Undersök därför i vilka sammanhang ni behandlar personnummer. Kontrollera om ni verkligen behöver personnumret för just den personuppgiftsbehandlingen. Se till syftet med behandlingen om det är nödvändigt att behandla personnummer. Om ni inte har personens samtycke till behandlingen behöver ni även se till att er användning är klart motiverad med hänsyn till något av undantagen ovan.
Exempel på personuppgiftsbehandling där personnummer ingår
Om du som arbetsgivare betalar in tjänstepension kan en nödvändig personuppgiftbehandling som personnummer ingår i vara en behandling som rör pensionsuppgifter. En sådan personuppgiftbehandling kan dokumenteras på följande sätt.
Namn på behandling: Pensionsuppggifter Kategori av registrerade: Anställda Vilka personuppgifter ingår: Namn, anställningsperiod och personnummer Syftet med behandlingen: Jag som arbetsgivare ska dels kunna betala ut tjänstepension, dels dokumentera inbetalningar för bokföring. Laglig grund: Avtal med den registrerade ska kunna fullgöras Behandlingstid: Personuppgifterna sparas i sju år + räkenskapsåret i enlighet med bokföringslagen.
Personnummer i föreningar och medlemsorganisationer
Det är vanligt att föreningar och medlemsorganisationer har listor på sina medlemmar med tillhörande personnummer. I många fall finns dessa listor publicerade på föreningens hemsida, eller exempelvis i samband med en idrottstävling. I många situationer kan det finnas ett syfte med att behandla personnummer i medlemsorganisationer, exempelvis är det ibland möjligt att få bidrag från kommunen för medlemmar i en viss ålder. Det kan dock vara en fördel att se över hur personnummer behandlas och om det är motiverat.
Andra personuppgifter som också kräver särskild hantering enligt GDPR
Det är inte bara personnummer som kräver särskild hantering, utan även s.k. ”känsliga uppgifter”. För att lära dig mer om hur dessa ska hanteras kan du klicka dig in här.
Hanterar ni personnummer?
Vi på GDPR Hero hjälper er gärna med hur ni kan hantera personuppgifter på ett korrekt sätt! Kontakta oss gärna på info@gdprhero.se eller 046 – 273 17 17. Vill ni veta hur ni kan underlätta ert GDPR-arbete? Boka en demo av verktyget GDPR Hero idag!