I det förra blogginlägget förklarade vi vad känsliga personuppgifter är och hur de får behandlas. Detta blogginlägg kommer istället handla om ”integritetskänsliga uppgifter”. Det är personuppgifter som inte är ”känsliga uppgifter”, men som ändå anses kräva ett extra skydd. Du kanske tycker att det låter som juridiskt hårklyveri, men det finns betydelsefulla skillnader i GDPR.

Vad är en integritetskänslig uppgift?

Begreppen ”extra skyddsvärd personuppgift” eller ”integritetskänslig personuppgift” är något som ofta diskuteras. Det är inte riktigt klargjort vilka uppgifter som tillhör dessa begrepp. I det tidigare blogginlägget ”känsliga personuppgifter” har vi förklarat att dataskyddsförordningen gör skillnad mellan behandlingen av personuppgifter (som t.ex. namn och telefonnummer) och känsliga personuppgifter (som t.ex. uppgifter om en persons hälsa). Vad är då en extra skyddsvärd uppgift eller integritetskänslig uppgift? Det finns många personuppgifter som individer anses vara känsliga för dem om de skulle läcka ut eller spridas men som inte ses som en känslig personuppgift enligt GDPR. Datainspektionen använder därför begreppet integritetskänslig personuppgift för att markera att vissa personuppgifter förtjänar att ha ett extra skydd om de behandlas.

Uppgifter som anses vara integritetskänsliga är bland annat:

  • Löneuppgifter
  • Uppgifter om lagöverträdelser
  • Värderande uppgifter (t.ex. om du har gjort ett personlighetstest på arbetet)
  • Om någonting rör en persons privata sfär eller sociala förhållanden

Personuppgifter om barn är skyddade på ett särskilt sätt, läs mer i vårt tidigare blogginlägg.

Personnummer och samordningsnummer

Nationella identifikationsuppgifter är personuppgifter som även ansetts behöva ett särskild skydd. För att identifiera personer i Sverige använder vi personnummer eller samordningsnummer. I Sverige används personnummer ofta för att identifiera oss i olika sammanhang utan att det är något främmande. I andra EU-länder är användningen av nationella identifikationsnummer mer begränsad eller till och med otillåten. Eftersom GDPR ska passa många olika EU-medlemsstater finns det rum för medlemsstaterna att precisera vissa bestämmelser. Ett sådant utrymme är hur användningen av nationella identifikationsuppgifter ska se ut i länderna.

Sverige har kompletterat GDPR med lagen som kallas dataskyddslagen. Där framgår att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen. Det kan t.ex. vara vikten av en säker identifiering eller något annat beaktansvärt skäl. Det är därför den personuppgiftsansvarig ska se till att det finns en laglig grund till behandlingen av personnumret eller samordningsnumret, t.ex. via avtal eller berättigat intresse. Det är även viktigt att överväga om det verkligen är motiverat att behandla uppgifterna och om det verkligen behövs en säker identifiering. En sak man kan se över är om man verkligen behöver de fyra sista siffrorna i personnumret för att identifiera personen. Kanske räcker det att bara ha födelsedatumet eller till och med om det bara räcker med personens namn.

Här kan du läsa om hur Sverige har preciserat några ytterligare regler i GDPR genom dataskyddslagen.

Lönespecifikationer

Uppgifter om lön är en integritetskänslig uppgiftOfta känns det osäkert att lämna ut våra ekonomiska uppgifter till någon annan. Det är ofta man blir varnad att vara försiktig att lämna ut t.ex. kontonummer eller andra ekonomiska uppgifter för att förhindra att bli utsatt för identitetsstöld eller bedrägerier. Därför skulle man kunna tänka sig att personuppgifter så som lön och kontonummer skulle ses som känsliga personuppgifter. Istället har datainspektionen valt att se dem som integritetskänsliga uppgifter som förtjänar ett särskilt skydd. Lönespecifikationer kan dock innehålla känsliga personuppgifter som t.ex. sjukfrånvaro, VAB eller medlemskap i fackförening. Lönespecifikationer och andra ekonomiska uppgifter kan därför ses som både integritetskänsliga uppgifter och i vissa fall känsliga personuppgifter. Det är därför viktigt att veta skillnaden mellan känsliga och integritetskänsliga uppgifter så att ni kan behandla personuppgifterna på rätt sätt och ge dem de skydd som de behöver.

Ökad säkerhet när ni behandlar integritetskänsliga personuppgifter

Precis som vid behandling av känsliga personuppgifter krävs det att man har en högre säkerhetsnivå när man behandlar integritetskänsliga personuppgifter. När ni hanterar t.ex. lönespecifikationer eller identifikationsuppgifter är det viktigt att ni har säkerhetsrutiner på plats och att alla som har tillgång till personuppgifterna följer rutinerna. Det krävs också tekniska säkerhetsåtgärder som t.ex. lösenordsskydd, antivirusprogram och kryptering när ni för över personuppgifterna mellan system.

Kontakt

Kontakta gärna oss på mejlen support@gdprhero.se eller telefonnummer 046 – 273 17 17 för att få veta mer om GDPR och hur vi kan hjälpa er!

 

Louise Torstensson

support@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

Share This