Extra känsliga uppgifter, eller särskilda kategorier av personuppgifter, är uppgifter som anses extra skyddsvärda, som information om hälsa, etniskt ursprung eller politiska åsikter. Lär dig vad som definieras som extra känsligt och grunderna i hur du skyddar sådan data.
Vad är extra känsliga uppgifter?
Extra känsliga uppgifter är personuppgifter som till sin natur är känsliga i förhållande till grundläggande fri- och rättigheter. Dessa uppgifter anses vara extra skyddsvärda. Behandlingen av sådana känsliga uppgifter kan medföra betydande risker för en enskild persons grundläggande fri- och rättigheter.
Extra känsliga uppgifter regleras i artikel 9 GDPR och innehåller åtta kategorier av uppgifter för vilka behandling är förbjuden som huvudregel. Därefter anger artikel 9 (2) GDPR tio undantag från förbudet att behandla känsliga personuppgifter. De kategorier av personuppgifter som omfattas är:
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Fackligt medlemskap
- Genetiska uppgifter eller biometriska uppgifter i syfte att entydigt identifiera en fysisk person
- Uppgifter om hälsa
- Uppgifter om en fysisk persons sexliv
- Sexuell läggning
Observera att skäl 51 i dataskyddsförordningen antyder att fotografier endast anses som extra känsliga uppgifter i den mån de kan identifiera en individ biometriskt, till exempel när de används i ett elektroniskt pass. Ett beslut från den svenska tillsynsmyndigheten om ansiktsigenkänning genom videoinspelning i en kommunal skola resulterade i Sveriges första GDPR-böter på cirka 20 000 euro.
Tänk på att det finns en bred möjlighet för medlemsstaterna att lägga till nya villkor (inklusive begränsningar) för behandlingen av genetiska, biometriska eller hälsorelaterade uppgifter.
Sharp Cookie Advisors
Vi söker juridikstudenter som är intresserade av att få stå i fronten av utveckling och få vara delaktigt i utvecklingen av vår tids juristbyrå Sharp Cookie Advisors.
Hur man behandlar extra känsliga uppgifter
De kategorier av personuppgifter som anges ovan är följaktligen förbjudna att använda, såvida inte något av kriterierna i artikel 9.2 GDPR är tillämpligt. Innan du börjar behandla extra känsliga uppgifter är det alltid en bra idé att genomföra förhandssamråd avseende din konsekvensbedömning (enligt artikel 36 i GDPR). Detta gäller särskilt vid användning av ny teknik (se artikel 35 i GDPR). De situationer som kan motivera behandling av extra känsliga uppgifter är:
· Uttryckligt samtycke
Du får behandla extra känsliga uppgifter om den registrerade samtyckt till ett eller flera specifika ändamål. Samtycke kan också förbjudas av en medlemsstat eller EU i särskilda frågor. När du använder “samtycke” se till att kriterierna för giltigt samtycke är uppfyllda.
· inom arbetsrätt, social trygghet och socialt skydd (om det är tillåtet enligt lag).
Behandling som är nödvändig för att fullgöra skyldigheter enligt arbets-, socialförsäkrings- eller socialförsäkringslagstiftningen eller ett kollektivavtal är tillåten om det är tillåtet enligt lag.
· Vitala intressen.
Om behandlingen är nödvändig för att skydda den registrerades eller en annan persons vitala intressen, när den registrerade är fysiskt eller juridiskt oförmögen att ge sitt samtycke.
· Ideella organisationer.
Behandling inom ramen för legitim verksamhet som utförs av en stiftelse, förening eller annan ideell organisation med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Villkoret är att behandlingen endast avser organets medlemmar eller personer som har regelbunden kontakt med det i samband med dess ändamål. Om organet vill lämna ut uppgifterna behöver det också samtycke från de registrerade.
· Uppgifter som på ett uppenbart sätt offentliggjorts av den registrerade.
Detta är en rättslig grund som tillåter behandling om den registrerade själv offentliggör de extra känsliga uppgifterna.
· Rättsliga anspråk eller rättsliga handlingar.
Behandlingen är giltig om den är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller när domstolar agerar i sin dömande funktion.
· Viktigt allmänt intresse.
Behandlingen är giltig av hänsyn till ett viktigt allmänt intresse med stöd i lagstiftningen. Till följd av detta kan medlemsstaterna besluta om omständigheterna för behandlingen av extra känsliga uppgifter. Medlemsstaternas lagstiftning måste dock vara anpassad till det eftersträvade målet och innehålla lämpliga skyddsåtgärder. Observera att vissa medlemsstater har förteckningar i lagstiftningen över vad allmänt intresse är. Exempel på detta är journalistik, akademi, konst, litteratur, antidopning inom idrotten eller lagstadgade eller statliga ändamål och så vidare
· Hälso- och sjukvård eller social omsorg med stöd i unionsrätten eller medlemsstaternas nationella rätt.
Behandlingen är giltig om den är nödvändig för yrkesmedicin eller förebyggande medicin eller för att bedöma arbetstagarens arbetsförmåga. Behandlingen måste ha en grund i medlemsstaternas nationella rätt eller ett avtal med hälso- och sjukvårdspersonal. Observera att denna grund kräver tystnadsplikt mellan parterna.
· Folkhälsa med stöd i unionsrätten eller medlemsstaternas nationella rätt.
Behandlingen är nödvändig av hänsyn till allmänintresset på folkhälsoområdet, för att skydda mot allvarliga gränsöverskridande hot mot människors hälsa eller för att säkerställa höga kvalitets- och säkerhetsnormer för hälso- och sjukvården och för läkemedel eller medicintekniska produkter. Observera att denna grund kräver tystnadsplikt mellan parterna.
· Arkivering, forskning och statistik med stöd i unionsrätten eller medlemsstaternas nationella rätt.
När behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i artikel 89.1.
Sammanfattning
För att behandla extra känsliga uppgifter måste du använda artikel 9 i kombination med artikel 6. Vissa undantag i artikel 9.2 liknar de lagliga grunderna i artikel 6, men inte alla. Du måste också överväga vilken typ av uppgifter det är du har att göra med.