Känsliga personuppgifter (särskilda kategorier av personuppgifter enligt GDPR)

Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter, men det finns undantag. Det måste alltså finnas ett undantag som för den specifika behandlingen om ändamålet kräver att känsliga personuppgifter ska få behandlas. Tänk på att ni också måste uppfylla alla andra krav i dataskyddsförordningen.

Känsliga personuppgifter (benämns i dataskyddsförordningen som särskilda kategorier av personuppgifter) är uppgifter som avslöjar:

  • Ras eller etniskt ursprung. Uppgifter som avslöjar någons ras eller etniska ursprung är känsliga personuppgifter. I svenska lagar använder vi inte längre ordet ras. I dataskyddsförordningen används däremot ordet, men det står också att det inte innebär att EU godtar teorier om att det skulle finnas skilda människoraser.
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i en fackförening
  • Hälsa, är uppgifter som omfattar alla aspekter av en persons hälsa, exempelvis uppgifter som kommer från tester eller undersökningar, uppgifter som sjukdom, sjukdomsrisk, sjukdomshistoria eller funktionshinder. Detta gäller oavsett vilken källa uppgifterna kommer ifrån.
  • En persons sexualliv eller sexuella läggning
  • Genetiska uppgifter, är uppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken, vilka ger unik information om denna persons fysiologi eller hälsa och framgår av en analys av ett biologiskt prov, framförallt kromosom-, DNA- eller RNA-analys. Det gäller således inte alla genetiska uppgifter
  • Biometriska uppgifter för att entydigt identifierar en fysisk person, personuppgifter som rör en persons "fysiska, fysiologiska eller beteendemässiga egenskaper" och gör det möjligt att identifiera människor, till exempel genom fingeravtrycksavläsning eller ögonskanning. Foton på människor är bara biometriska uppgifter när de behandlas med teknik som möjliggör identifiering eller autentisering av en person, till exempel med ansiktsigenkänningsteknik.

Undantagen från förbudet i dataskyddsförordningen är:

Om den registrerade har lämnat uttryckligt samtycke

Om den registrerade uttryckligen har samtyckt till behandlingen (samtycket måste uppfylla kraven på hur ett samtycke ska vara utformat i enlighet med GDPR) för ett eller flera specifika ändamål får känsliga personuppgifter behandlas, men bara för det ändamål som den registrerade har godkänt.

För att skydda någons grundläggande intressen

Om den registrerade är fysiskt eller rättslig förhindrad att ge sitt samtycke och behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen.

Exempel: En person har plötsligt blivit sjuk och förlorat medvetandet. Dennes personuppgifter behandlas för att kontrollera blodgrupp och sjukdomshistoria och för att kontakta anhöriga.

När någon själv har offentliggjort de känsliga uppgifterna

Om någon på eget initiativ på ett tydligt sätt har offentliggjort känsliga uppgifter om sig själv får KI också behandla de uppgifterna.

Exempel: En person framträder i TV och företräder en viss politisk åsikt eller en religiös övertygelse, eller berättar om sin sjukdom. Den personen har själv offentliggjort uppgifter.

Obs! Det är personens avsikt som avgör om man kan säga att den själv har offentliggjort uppgifterna. Den som bara deltar i ett möte som anordnats av en fackförening har troligen inte haft som avsikt att berätta offentligt att den är medlem i fackföreningen. Samma sak gäller för uppgifter som förekommer i en rättegång i domstol.

Undantagen som finns i kompletterande dataskyddsbestämmelser

I vissa fall räcker det inte att titta i dataskyddsförordningen för att hitta undantag mot förbudet mot att behandla känsliga personuppgifter. Då behöver man dessutom söka stöd i svensk eller europeisk lagstiftning eller i kollektivavtal. Den kompletterande dataskyddslagen innehåller till exempel några generella bestämmelser som gör det möjligt att behandla känsliga personuppgifter.

KI behöver stöd i andra lagar och regler för att få behandla känsliga personuppgifter på dessa områden:

Inom arbetsrätt, social trygghet och socialt skydd

KI som arbetsgivare får behandla känsliga personuppgifter för att fullgöra sina skyldigheter eller utöva sina rättigheter med koppling till arbetslivet. För att det här undantaget ska gälla måste behandlingen vara tillåten enligt svensk rätt eller kollektivavtal som även fastställer lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

Exempel:

  • KI ska betala ut sjuklön eller genomföra rehabilitering av en arbetstagare.
  • KI ska erbjuda eller förmedla tjänstepensioner och olika typer av gruppförsäkringar.
  • KI ska lämna vissa personuppgifter till fackföreningar enligt diskrimineringslagen.

För att det här undantaget ska gälla måste behandlingen vara tillåten enligt svensk rätt eller kollektivavtal som även fastställer lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

När det är nödvändigt för ett viktigt allmänt intresse

Om det är nödvändigt av hänsyn till ett viktigt allmänt intresse är det tillåtet att behandla känsliga personuppgifter. Detta kan vara fallet när KI tar emot personuppgifter och enligt lag måste behandla dem, om behandlingen är nödvändig för att KI ska kunna handlägga ett ärende eller om behandlingen är nödvändig med hänsyn till viktigt allmänt intresse. Vad som kan vara ett viktigt allmänt intresse är inte helt klart.

Ett exempel på ett viktigt allmänt intresse är den grundlagsfästa rätten att ta del av allmänna handlingar. Ordning och reda bland allmänna handlingar är en förutsättning för att handlingsoffentligheten ska fungera och fylla sitt syfte.

Kompletterande bestämmelse i dataskyddslagen

Den här bestämmelsen i dataskyddslagen är avsedd för offentlig verksamhet där det saknas sektorspecifik reglering om personuppgifter. Många myndigheter har dock sektorsspecifika lagar.

För arkivändamål

KI är skyldiga att arkivera sina handlingar av olika skäl: som en del av det nationella kulturarvet, för att tillgodose rätten att ta del av allmänna handlingar, behovet av förvaltningen och för forskningens behov. Även känsliga personuppgifter får behandlas om det är nödvändigt för att följa såna föreskrifter om arkiv.

Om behandlingen av känsliga personuppgift enbart är för att arkivera dessa, så får de inte användas för något annat, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Den här användningsbegränsningen gäller dock inte personuppgifter som finns i allmänna handlingar.

För forskningsändamål

Alla som forskar vid KI och då behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser behöver införa särskilda åtgärder för att skydda de registrerades grundläggande rättigheter och intressen. Etikprövning kan ses som en sådan skyddsåtgärd, därför ska det inom ramen för forskning vid KI alltid finnas ett eller flera etikgodkännanden för forskningsprojektet.

För statistiska ändamål

Det kan vara nödvändigt att samla in och behandla känsliga personuppgifter för statistiska undersökningar och för att ta fram exempelvis verksamhetsstatistik. KI får göra det om samhällsintresset klart väger över risken för otillbörligt intrång i enskildas personliga integritet. Om KI behandlar en personuppgift enbart för statistiska ändamål får dessa uppgifter inte användas för något annat, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

KI behöver alltså göra en avvägning och bedöma om statistiken bidrar mer till samhället än vad den riskerar att skada. Bedöm bland annat

  • hur viktigt statistikprojektet är, hur mycket nytta det gör i samhället
  • vilka personuppgifter som behöver behandlas
  • säkerheten för personuppgifterna
  • hur kostsamt/mödosamt/skadande det är att inhämta respektive inte inhämta de registrerades samtycke
  • om information om behandlingen kan lämnas via till exempel annons i tidning eller på liknande sätt
  • om det är enkelt eller svårt att identifiera enskilda personer.

Det kan också vara tillåtet att behandla känsliga personuppgifter för statistiska ändamål enligt andra lagar som ger tillräckligt skydd för de registrerades rättigheter och intressen.
Du kan läsa mer om känsliga personuppgifter och när dessa får behandlas hos Integritetsskyddsmyndigheten (IMY), https://www.imy.se/sokresultat/?query=k%C3%A4nsliga%20personuppgifter%2…

Även personnummer ses som en personuppgift som är extra skyddsvärd

Personnummer och samordningsnummer får behandlas om de registrerade har gett sitt samtycke. Finns det inget samtycke får personnummer behandlas bara när det är klart motiverat med hänsyn till

  • ändamålet med behandlingen
  • vikten av en säker identifiering
  • något annat beaktansvärt skäl

Andra personuppgifter kan också vara extra skyddsvärda

Det finns många andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara

  • löneuppgifter
  • uppgifter om lagöverträdelser
  • värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
  • information som rör någons privata sfär
  • uppgifter om sociala förhållanden.

Dessa personuppgifter klassas som integritetskänsliga personuppgifter. För integritetskänsliga personuppgifter finns det inget förbud mot behandlingen, tänk däremot på att integritetskänsliga uppgifter kan kräva en högre säkerhetsnivå än för mer harmlösa personuppgifter.

MG
Innehållsgranskare:
Mats Gustavsson
Märta Philp
2023-02-10