Vissa personuppgifter avses enligt sin karaktär som känsliga personuppgifter och kräver ett starkare skydd. I huvudregel är det förbjudet att behandla personuppgifter av känslig karaktär förutom i vissa undantagsfall. Det är viktigt att veta vilka personuppgifter som enligt lag anses som känsliga personuppgifter och hur lagen kräver att man behandlar dessa.
Vad klassas enligt GDPR som känsliga personuppgifter?
Enligt dataskyddsförordningen (GDPR) definieras bland andra följande personuppgifter som känsliga:
- politiska åsikter,
- sexuell läggning,
- medlemskap i fackförbund,
- etnisk ursprung,
- genetiska och biometriska uppgifter (såsom ansiktsigenkänning), samt
- hälsouppgifter (exempelvis läkarjournaler).
Når får man behandla känsliga personuppgifter?
Utgångspunkten är att det inte är tillåtet att behandla känsliga uppgifter, förutom i undantagsfall förutsatt att man har inhämtat samtycke från den registrerade, eller om behandlingen av personuppgifterna har stöd enligt lag.
Exempelvis kan en arbetstagares känsliga personuppgifter behandlas av en arbetsgivare i vissa fall. Detta beror på att det kan vara nödvändigt att behandla känsliga uppgifter för att tex. en arbetsgivare, arbetstagare eller en facklig organisation ska kunna fullgöra sina avtalsförpliktelser eller andra uppgifter som är nödvändiga för arbetslivet. Sådana kan exempelvis grunda sig i lagstiftning, myndighetsbeslut, kollektivavtal eller andra avtal – beroende på vilken rättslig grund behandlingen vilar på.
Samtycke krävs
Det är oftast tillåtet att behandla känsliga personuppgifter om uppgiftslämnaren uttryckligen har godkänt detta. Observera dock att behandlingen av uppgifterna ska vara nödvändiga för just det ändamålet som uppgiftslämnaren godkänt behandlingen för. Ändamålet ska bestämmas i förväg av den personuppgiftsansvarige i verksamheten.
Även vetenskapliga och historiska forskningsändamål kan göra att det är tillåtet att behandla känsliga personuppgifter under förutsättning att det finns en särskild grund och är i enlighet med dataskyddsförordningen (GDPR).
Ett annat exempel på när känsliga personuppgifter får behandlas är om personen själv har offentliggjort dessa uppgifter. Detta innebär att allmänheten då får behandla dessa uppgifter eftersom uppgiftslämnaren har gjort dessa offentliga. Känsliga personuppgifter får också behandlas i domstolsprocesser om det är nödvändigt för den dömande verksamheten.
Hur kan man behandla känsliga personuppgifter? Vilka rutiner krävs?
För att få behandla personuppgifter såväl som känsliga uppgifter krävs det att man har stöd enligt GDPR för behandling av personuppgifter. Det är endast tillåtet att samla in personuppgifter för ett specifikt ändamål. Det är inte tillåtet att behandla mer uppgifter än vad som är nödvändigt för ändamålet. Personuppgifterna behöver vara korrekta och de ska inte behandlas längre tid än vad som är nödvändigt. När personuppgifterna inte längre anses nödvändiga ska det finnas en skriftlig rutin upprättad till att radera dessa.
Det är viktigt att behandla personuppgifterna på ett sådant sätt som gör att obehöriga inte har möjlighet att ta del av dessa. Ni ska också kunna uppvisa på vilket sätt ni förhåller er till dessa krav. Det kan krävas att ni specificerar era behandlingar i en personuppgiftspolicy eller i en registerförteckning. Det kan också krävas att ni gör en konsekvensbedömning inför att ni ska behandla känsliga personuppgifter.
Syftet med dessa dokument är att det ska vara enkelt för personer vars personuppgifter behandlas att få en överblick över hur verksamheten eller företaget behandlar personuppgifterna samt hur de förhåller sig till dataskyddsförordningen. Dokumentet ska vara sammanställt med samlad information om hur personuppgiftsbehandlingen går till exempelvis var personuppgifterna behandlas, hur lång tid uppgifterna sparas, syftet med behandlingen, vilka rättigheter personuppgiftslämnaren har m.m.
Hur kan man behandla känsliga personuppgifter? Vilka rutiner krävs?
För att få behandla personuppgifter såväl som känsliga uppgifter krävs det att man har stöd enligt GDPR för behandling av personuppgifter. Det är endast tillåtet att samla in personuppgifter för ett specifikt ändamål. Det är inte tillåtet att behandla mer uppgifter än vad som är nödvändigt för ändamålet. Personuppgifterna behöver vara korrekta och de ska inte behandlas längre tid än vad som är nödvändigt. När personuppgifterna inte längre anses nödvändiga ska det finnas en skriftlig rutin upprättad till att radera dessa.
Det är viktigt att behandla personuppgifterna på ett sådant sätt som gör att obehöriga inte har möjlighet att ta del av dessa. Ni ska också kunna uppvisa på vilket sätt ni förhåller er till dessa krav. Det kan krävas att ni specificerar era behandlingar i en personuppgiftspolicy eller i en registerförteckning. Det kan också krävas att ni gör en konsekvensbedömning inför att ni ska behandla känsliga personuppgifter.
Syftet med dessa dokument är att det ska vara enkelt för personer vars personuppgifter behandlas att få en överblick över hur verksamheten eller företaget behandlar personuppgifterna samt hur de förhåller sig till dataskyddsförordningen. Dokumentet ska vara sammanställt med samlad information om hur personuppgiftsbehandlingen går till exempelvis var personuppgifterna behandlas, hur lång tid uppgifterna sparas, syftet med behandlingen, vilka rättigheter personuppgiftslämnaren har m.m.
Vad innebär extra skyddsvärda personuppgifter?
Personuppgifter som är extra skyddsvärda men inte klassas som känsliga uppgifter kan exempelvis vara:
- Uppgifter om lön,
Uppgifter om lagöverträdelser, - Sociala förhållanden,
- Personlighetstest,
- Personnummer och samordningsnummer,
- Sekretessmarkerade personuppgifter samt
- Sekretessbelagda uppgifter.
- Uppgifter om lön,
OBS! Denna lista är inte uttömmande.
Dessa uppgifter ska skyddas särskilt, men klassas inte som känsliga uppgifter. Det finns inga särskilda bestämmelser i lagen om när man får behandla extra skyddsvärda personuppgifter. Detta innebär i praktiken att dessa får behandlas på samma sätt som icke skyddsvärda personuppgifter, förutsatt att de är extra skyddade jämfört med vanliga personuppgifter.
Exempelvis ska inte personnummer stå synligt så att obehöriga kan ta del av dem. Vissa uppgifter som inte regleras som känsliga i lag kan antas vara känsliga för en viss person, detta kallas för subjektivt integritetskänsliga uppgifter, det innebär att olika personer kan betrakta olika uppgifter som känsliga trots att det inte framgår i lagen.
När behöver man göra en så kallad konsekvensbedömning?
Ifall det kan antas att det föreligger stor risk till att obehöriga kan ta del av de personuppgifter som behandlas, krävs det enligt dataskyddsförordningen att man gör en så kallad konsekvensbedömning. Det krävs att man utför en konsekvensbedömning vid behandling av känsliga personuppgifter som av sin karaktär anses vara väldigt privata.
Vad som utgör privata personuppgifter är inte reglerat i lag eftersom olika personer anser att olika uppgifter är av privat karaktär. Exempelvis kan en person anse att uppgifter om sitt hushåll är privata medan någon annan inte tycker att det. Emellertid bör en konsekvensbedömning utföras vid större behandlingar av personuppgifter.
Dessutom måste förhållandet mellan den registrerade och de som behandlar personuppgifterna beaktas; Vid behandling av exempelvis barns uppgifter bör behandlingen ske med särskild omsorg. I sådana lägen är det dessutom inte givet att ett samtycke utgör en laglig grund för behandlingen av personuppgifter; istället behöver andra rättsliga grunder föreligga – exempelvis allmänna intressen.
Hur ska känsliga personuppgifter regleras i en personuppgiftspolicy?
En personuppgiftspolicy ska vara utformad till att vara i enlighet med det som framgår i dataskyddsförordningen. Känsliga uppgifter ska regleras så att de är lagenliga i er personuppgiftspolicy. Det ska tydligt framgå vilka personuppgifter som behandlas, på vilket sätt ni samlar in uppgifterna, samt och hur ni kommer att använda dem.
Det ska även framgå hur länge ni behandlar och sparar personuppgifterna, det vill säga hur lång lagringstid ni har. Det är inte tillåtet att lagra och behandla personuppgifter längre än vad som är nödvändigt för ändamålet. Ändamålet för behandling av känsliga personuppgifter kan exempelvis vara utbetalning av lön, förmedling av tjänstepension eller behandling av vissa personuppgifter i fackföreningar enligt diskrimineringslagen.
I policyn ska det tydligt framgå när, hur och varför känsliga personuppgifter får behandlas. Det är särskilt viktigt att det framgår vilken rättslig grund behandlingen grundar sig på – såsom samtycke, avtalsförpliktelse eller allmänna intressen. Vidare ska det framgå vilka känsliga personuppgifter som får behandlas till det bestämda ändamålet, samt hur länge ni ska lagra uppgifterna.
Vi rekommenderar att ni anlitar en jurist för att skriva en personuppgiftspolicy som är förenlig med GDPR:s bestämmelser angående behandling av känsliga personuppgifter.
Vilka andra dokument bör upprättas?
Huvudregeln är att alla personuppgiftsansvariga är skyldiga att upprätta en så kallad registerförteckning. Det gäller särskilt känsliga personuppgifter – då är det obligatoriskt att upprätta en registerförteckning.
Registret ska hållas kontinuerligt uppdaterat. I registret ska det framgå vilka uppgifter som behandlas, ändamålet med behandlingen, en beskrivning av de registrerade, tidsfrister för radering av personuppgifter, till vilka personuppgifterna har lämnats ut eller kommer att lämnas ut.
Skyldigheten till registerförteckning kan undantas för företag och verksamheter med mindre än 250 anställda, däremot gäller det fortfarande om det kan tänkas att personuppgiftsbehandlingen kan medföra risk för de behandlades rättigheter eller omfattar känsliga personuppgifter, eller uppgifter om lagöverträdelser, men också ifall behandlingen inte endast är tillfällig.
Hur kan Enkla Juridik hjälpa mig?
Juridik likaså dataskyddsförordningen kan vara komplext. Vi på Enkla juridik har många erfarna jurister som kan hjälpa er med era frågor kring GDPR. Tveka inte på att höra av er till oss för en kostnadsfri juridisk rådgivning. Vi återkommer inom en arbetsdag!
- Vad klassas enligt GDPR som känsliga personuppgifter?
- Når får man behandla känsliga personuppgifter?
- Samtycke krävs
- Hur kan man behandla känsliga personuppgifter? Vilka rutiner krävs?
- Vad innebär extra skyddsvärda personuppgifter?
- När behöver man göra en så kallad konsekvensbedömning?
- Hur ska känsliga personuppgifter regleras i en personuppgiftspolicy?
- Vilka andra dokument bör upprättas?
- Hur kan Enkla Juridik hjälpa mig?