Vissa personuppgifter är extra känsliga och kräver ett starkare skydd än andra uppgifter. GDPR har speciella regler för dessa känsliga personuppgifter. Endast om vissa förutsättningar är uppfyllda får sådana uppgifter behandlas. Nästan alla företag hanterar någon form av känsliga uppgifter, därför är det viktigt att tänka igenom hur dessa uppgifter ska hanteras.

Vad är en personuppgift?

En personuppgift är en uppgift som ensamt eller tillsammans med andra personuppgifter kan kopplas till en fysisk person (Se blogginlägget ”Vem skyddas av GDPR?”). Exempel på personuppgifter är namn, telefonnummer och adress. Men det finns även de personuppgifter som enligt GDPR anses vara känsliga personuppgifter och som enligt huvudregeln inte får behandlas.

Vad är en känslig personuppgift?

Känsliga personuppgifter är de uppgifter som till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening är förbjuden. Samma sak gäller för behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandlingen är förbjuden eftersom användningssättet av sådana uppgifter kan leda till allvarliga risker för personens grundläggande fri- och rättigheter.

Exempel:

Vanliga exempel på känsliga uppgifter är allergier och specialkost som hänför sig till en persons hälsa eller religiösa övertygelse. Det kan även vara uppgifter om modersmål som hänför sig till en persons etniska ursprung eller foton på personen som innehåller religiösa symboler.

När får känsliga personuppgifter behandlas?

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter. Det finns dock undantag från förbjudet som gör det möjligt att behandla känsliga uppgifter. Om en person uttryckligen samtycker till behandling kan den vara tillåten. Exempelvis kan det vara tillåtet att behandla uppgifter om personers allergier om de uttryckligen samtycker till det. Det är även tillåtet att behandla uppgifter som är nödvändiga för att arbetsgivaren och arbetstagaren ska kunna utöva sina skyldigheter eller rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, till exempel kan arbetsgivaren behandla uppgifter om att en anställd är sjuk att för att sedan kunna betala ut sjuklön. Om du vill veta mer om hur det fungerar med just sjukskrivningar, se det tidigare inlägget om sjukanmälningar.

Några exempel på andra undantag som gör det möjligt att behandla känsliga personuppgifter är:
  • Inom vissa politiska, filosofiska, religiösa eller fackliga organisationer
  • När någon själv har offentliggjort de känsliga uppgifterna
  • Om det behövs för rättsliga anspråk eller inom domstolarnas dömande verksamhet
  • Inom hälso- och sjukvård och social omsorg
  • För forskningsändamål

Hur får ni behandla känsliga personuppgifter?

Skydda känsliga personuppgifter

Det är den personuppgiftsansvariga som är ansvarig att se till att lämpliga säkerhetsåtgärder finns på plats och att inga obehöriga kommer åt personuppgifterna. På varje arbetsplats, oavsett om man behandlar känsliga personuppgifter eller inte, bör det därför finnas säkerhetsrutiner på plats. Det kan handla om att varje anställd har lösenordskod på sin telefon, ett antivirusprogram installerat på datorn och riktigt larm- och låssystem till arbetsplatsen.

Om en organisation hanterar en stor mängd känsliga personuppgifter ställs det höga säkerhetskrav på personuppgiftsbehandlingen. Det kan vara lämpligt att upprätta en säkerhetspolicy på arbetsplatsen som alla anställda ska följa och vara införstådda med. Säkerhetspolicyn bör redovisa organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten. Policyn ska vara tydlig och lätt att förstå så att alla på organisationen kan ta del av den. Det är arbetsgivaren som ska se till att de anställda har riktlinjer att följa så att de anställda har möjlighet att arbeta och tänka säkerhetsmedvetet. Att lyckas med detta är lättast om det finns struktur i personuppgiftshanteringen, det skapas enklast genom ett register över personuppgiftsbehandling.

Sammanfattningsvis

Personuppgifter är uppgifter som kan kopplas till en fysisk person. Vissa personuppgifter anses vara känsliga och är enligt huvudregeln förbjudna att behandla. Om det är så att en personuppgiftsansvarig behöver behandla känsliga personuppgifter är det viktigt att man kan stödja sig på ett undantag, t.ex. om personen vars uppgifter behandlas uttryckligen samtycker till det. Det är även viktigt att det finns tillräckliga med säkerhetsåtgärder på arbetsplatsen för att förhindra att obehöriga får tillgång till personuppgifterna och att alla anställda följer dessa säkerhetsrutiner.

Kontakt

Kontakta gärna oss på mejlen support@gdprhero.se eller telefonnummer 046 – 273 17 17 för att få veta mer om GDPR och hur vi kan hjälpa er!

 

Louise Torstensson

support@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This