Behandling av känsliga perosnuppgifter
Huvudregeln
Behandling av vissa personuppgifter kan enligt GDPR klassificeras som känsliga personuppgifter, till exempel de som rör ras, fackföreningstillhörighet och hälsa.
Enligt huvudregeln i GDPR är behandling av känsliga personuppgifter förbjuden. GDPR gör dock ett antal undantag från förbudet, bland annat om den registrerade uttryckligen lämnat sitt samtycke för ett eller flera specifika ändamål har den personuppgiftsansvarige rätt att behandla den registrerade känsliga personuppgifter.
Övriga undantag rör både specifika situationer som arbetsrätten samt speciella situationer, till exempel när den enskilde själv offentliggjort sina personuppgifter.
Olika typer av känsliga personuppgifter
Genetiska och biometriska uppgifter har tillförts i katalogen över vad som anses utgöra känsliga personuppgifter genom GDPR. Utöver generiska och biometriska personuppgifter finns också en rad andra personuppgifter som är känsliga. Dessa kan delas in i två kategorier:
- Uppgifter som kan kopplas till utövandet av mänskliga rättigheter: här ingår till exempel politisk uppfattning, etnicitet och religiös övertygelse.
- Uppgifter som kan kopplas till människans korr: utöver genetik och biometriska uppgifter om hälsa.
Även personuppgifter som rör fällande domar i brottmål eller lagöverträdelse är integritetskänsliga. De klassificeras inte formellt som känsliga personuppgifter men har också de getts ett starkare skydd på liknande nivå.
Undantag från huvudregel
Känsliga personuppgifter får behandlas om den registrerade lämnar ett uttryckligt samtycke. Kraven på samtycket är ännu högre än för “vanliga samtycken”, vilket framgår av ordet “uttryckligt” i GDPR. Att behandling av känsliga personuppgifter får ske då den registrerade har lämnat sitt uttryckliga samtycke framgår direkt av GDPR.
I GDPR finns ytterligare undantag. För att vissa av undantagen som förskrivs ska vara tillämpliga krävs att grunden för sådana behandlingar kommer till uttryck i unionsrätten eller nationell rätt. Några sådana undantag är personuppgifter inom hälso- och sjukvård, inom arkivverksamhet och för statistiska ändamål.
Det är viktigt att framhålla att undantagen inte ska läsas isolerade från de grundläggande principerna för behandling. De grundläggande principerna för behandling gäller givetvis även här. Om personuppgifterna är känsliga kräver principerna att ännu mer kraftfulla åtgärder vidtas. Ett exempel på detta är principen om uppgiftsminimering där det finns skäl att se över till exempel behörighetsstyrningen noga.
Arbetsrätt
Känsliga personuppgifter får behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.
Förutsättningen för att en arbetsgivare ska få lämna ut känsliga personuppgifter rörande en anställda till tredje man är att det finns lagligt stöd i arbetsrätten för ett sådant utlämnande och att arbetstagaren lämnat sitt uttrycka samtycke till sådan behandling.
Undantaget avseende arbetsrätt har en EU-rättslig innebörd och ska tolkas brett och gälla i alla sektorer av samhället. Skyldigheten att inom arbetsrätten lämna ut känsliga personuppgifter ska framgå av lagstiftning, myndighetsbeslut, kollektivavtal eller av ett muntligt eller skriftligt avtal. Om inte någon av dessa grunder finns, ska inte känsliga personuppgifter rörande en anställd lämnas ut.
Med tredje man menas en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdes direkta ansvar är behöriga att behandla personuppgifterna. Detta innebär exempelvis att en arbetsgivares utlämnande till en facklig organisation omfattas av den regleringen om utlämnande täcks av lagstiftning eller kollektivavtal. Även om det är tillåtet att lämna ut personuppgifter bör man hantera detta på ett seriöst sätt med bra säkerhetsrutiner. Personuppgiftsincidenter som rör känsliga uppgifter kommer bedömas allvarligare.
Behandling av känsliga personuppgifter inom myndigheter
Myndigheter har ofta berättigade skäl att behandla känsliga personuppgifter, och i många fall sker behandlingen i den registrerades intresse. Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna. I många fall finns sådana regleringar i sektorspecifika författningar, exempelvis utlänningsdatalagen och lag om socialförsäkringsregister.
Behandling av känsliga personuppgifter inom hälso- och sjukvård och social omsorg
Förutsatt att kraven på tystnadsplikt i GDPR är uppfyllda kan känsliga personuppgifter behandlas om det är nödvändigt av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet m.m.
Myndigheters användning inom det sociala området, till exempel i ärenden enligt socialtjänstlagen, faller inte under detta undantag utan hänförs istället till det allmänna myndighetsundantaget. Bestämmelsen täcker i övrigt mycket av den behandling av personuppgifter som förekommer inte hälso- och sjukvårdsområdet, kvalitetshöjande behandling av personuppgifter. I Sveriges regleras behandling av personuppgifter inom hälso- och sjukvården bland annat i den sektorspecifika patientdatalagen. I denna lag regleras även möjligheten att använda känsliga personuppgifter som sökbegrepp.
Behandling av känsliga personuppgifter inom arkiv och statistik
Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård och arkiv.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att känsliga personuppgifter får behandlas får behandlas för arkivändamål av allmänt intresse, även fall då behandlingen av personuppgifter inte kan anses nödvändig utifrån GDPR:s definition.
Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Känsliga personuppgifter får även behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart överväger den risk för otillbörlig intrång i enskildas personliga integritet.
Behandling av personuppgifter vid lagöverträdelser
Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattat britt eller straffprocessuella tvångsmedel är som tidigare nämnt inte känsliga uppgifter enligt definitionen i GDPR men har liknande reglering.
Personuppgifter om lagöverträdelse får behandlas av brottsutredande myndigheter.
Liknande artiklar
- Arkivering och gallring
- Behandling av personuppgifter
- Behandling på grund av allmänt intresse
- Behandling på grund av avtal
- Behandling på grund av berättigat intresse
- Behandling på grund av en rättslig förpliktelse
- Behandling vid myndighetsutövning
- Dataskyddsombud
- Den personuppgiftsansvarige
- Den registrerades rättigheter
- Inhämtande av samtycke
- Personlig integritet
- Personuppgifter
- Personuppgiftsbiträde
- Personuppgiftsbiträdesavtal
- Sanktionsavgifter enligt GDPR