Känslig personuppgift

En känslig personuppgift är en personuppgift som anses vara särskilt skyddsvärd på grund av sin känslighet och som därför omfattas av mer långtgående skydd än andra personuppgifter enligt Europeiska unionens dataskyddsförordning (GDPR). Enligt förordningen innefattar känsliga personuppgifter alla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en persons sexualliv eller sexuella läggning.^[1][2] Exempel på personuppgifter som inte ingår i kategorin av känsliga personuppgifter är adress, lön och personnummer.^[1]

Som huvudregel är all behandling, till exempel insamling och lagring, av känsliga personuppgifter förbjuden enligt dataskyddsförordningen. Endast i de undantagsfall som anges i förordningen får sådana personuppgifter behandlas.^[3] Vid sådan behandling krävs alltid att den personuppgiftsansvarige för ett register över sin behandling.^[4] Vid behandling i stor omfattning krävs även en konsekvensbedömning och, om det rör sig om kärnverksamhet, utnämnande av ett dataskyddsombud.^[5][6]

Det allmänna förbudet mot behandling av känsliga personuppgifter och de tillhörande undantagen infördes ursprungligen den 24 oktober 1998 genom dataskyddsdirektivet. Genom dataskyddsförordningen, som ersatte dataskyddsdirektivet den 25 maj 2018, gjordes vissa smärre justeringar av undantagen samtidigt som bestämmelserna blev direkt tillämpliga inom hela unionen.

Undantag då känsliga personuppgifter får behandlas

I korthet får känsliga personuppgifter, enligt dataskyddsförordningen, behandlas i följande fall:^[3][7]

• Behandlingen avser personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
• Behandlingen avser ett eller flera specifika ändamål som den registrerade har lämnat sitt samtycke för, utom i de fall då unionsrätten eller nationell rätt föreskriver att förbudet om behandling av känsliga personuppgifter inte kan upphävas av den registrerade.
• Behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen (till exempel liv) när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (till exempel om personen har förlorat medvetandet).
• Behandlingen sker av en ideell förening som har ett politiskt, filosofiskt, religiöst eller fackligt syfte och gäller endast dess nuvarande eller tidigare medlemmar eller andra personer som föreningen på grund av sitt ändamål har regelbunden kontakt med. Personuppgifterna får inte lämnas ut till annan part utan den registrerades samtycke.
• Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av en domstols dömande verksamhet.

Känsliga personuppgifter får även behandlas i följande fall om det finns en rättslig grund för det i unionsrätten, nationell rätt eller, i arbetsrättsliga frågor, kollektivavtal som antagits med stöd av nationell rätt:^[3][7]

• Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (till exempel utlämnande av allmänna handlingar).
• Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra en skyldighet eller utöva en särskild rättighet inom arbetsrätten eller på områdena social trygghet och socialt skydd (till exempel kan en arbetsgivare behöva uppgifter om hälsa för att betala sjuklön eller uppgifter om medlemskap i fackföreningar för att lämna personuppgifter dit enligt lag).
• Behandlingen är nödvändig för hälso- och sjukvård eller liknande verksamheter.
• Behandlingen är nödvändig av folkhälsoskäl.
• Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

All behandling måste fortfarande ske i enlighet med dataskyddsförordningens övriga bestämmelser. Känsliga personuppgifter kan även behandlas i de fall som inte faller inom dataskyddsförordningens tillämpningsområde, till exempel behandling som är av rent privat natur, förutsatt att inte annan lagstiftning förbjuder det.

Se även

• Dataskyddsdirektivet
• Dataskyddsförordningen
• Personuppgift
• Skydd av personuppgifter inom Europeiska unionen

Referenser

1. ^ [a b] ”Känsliga personuppgifter”. Integritetsskyddsmyndigheten. 15 september 2021. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/kansliga-personuppgifter/. Läst 7 augusti 2022. 
2. ^ ”Artikel 9.1 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 10). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504. 
3. ^ [a b c] ”Artikel 9.2 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 10–11). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504. 
4. ^ ”Artikel 30 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 27–28). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504. 
5. ^ ”Artikel 35.3 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 31). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504. 
6. ^ ”Artikel 37.1 i konsoliderad version av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)”. EUT L 119, 4.5.2016 (konsoliderad version: 2016R0679, 04.05.2016, s. 33). EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:02016R0679-20160504. 
7. ^ [a b] ”När får ni behandla känsliga personuppgifter?”. Integritetsskyddsmyndigheten. 13 september 2021. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/kansliga-personuppgifter/nar-far-ni-behandla-kansliga-personuppgifter/. Läst 7 augusti 2022. 

EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.