Känsliga uppgifter

Känsliga uppgifter är ett känsligt ämne inom dataskyddslagen. Här finns det många oetiska övertramp som kan göras – ibland utan att man är helt medveten om att de begås. Varken från den registrerade personens eller den registrerande organisationens sida, vilket är exempel på personuppgiftsincidenter. Detta har vi sett flera exempel på, även på senare år. Ibland är sådan hantering dock motiverad, sett till de många undantagsreglerna. Det och mycket mer kommer den här artikeln om känsliga uppgifter kopplade till dataskyddslagen handla om.

Huvudregel för känsliga uppgifter

Huvudregeln när det gäller känsliga uppgifter i GDPR är att de inte får behandlas. Allt som är att anse som känsliga uppgifter får helt enkelt inte samlas in eller lagras hos organisationer. I så fall straffas organisationen med höga böter. Men inga regler utan undantag. I vissa fall får känsliga uppgifter behandlas trots allt. Mer om det senare.

Vad är känsliga uppgifter i GDPR?

Det finns mycket som klassas som känsliga uppgifter i dataskyddslagens ögon. Vad som menas med de olika uppgifterna är dock inte alltid helt klart. Här kommer vi gå igenom varje grupp av känsliga uppgifter och vad som faller in under dem.

En person viskar känslig information till en annan
Känsliga uppgifter ska hanteras på ett delikat sätt

Etnicitet

En persons etniska ursprung är att anse som en känslig uppgift. Tidigare har man i Sverige talat om ras, vilket man fortfarande gör i exempelvis USA. Detta är dock ett förlegat förhållningssätt och inget av relevans i dagens samhälle. I GDPR används visserligen begreppet “ras” – men det förtydligas också uttryckligen att det inte på något sätt innebär att EU accepterar teorier om att det skulle finnas olika raser av människor.

Politisk tillhörighet

Vad en person har för politiska åsikter är känsliga uppgifter. Det är att anse som var och ens personliga ensak och inte något som någon annan ska behöva få veta. Detsamma gäller en persons eventuella medlemskap i fackförening.

Trosuppfattning

Inte heller en persons religiösa eller filosofiska uppfattning får behandlas av myndigheter eller företag om det inte finns särskilda skäl. Liksom politisk tillhörighet eller facktillhörighet är det var och ens ensak.

Hälsa

Att behandla uppgifter om någons hälsa är givetvis en nödvändighet i vissa fall. All medicinsk verksamhet är grundat på detta – oavsett om det bedrivs i form av ett sjukhus eller en privat vårdaktör. För de som inte bedriver vård eller liknande verksamhet är uppgifter om hälsa definitivt ingen nödvändig information att ta del av.

Sexuell läggning

Någons sexualliv eller sexuella läggning ska, i stort sett, inte behöva vara av intresse för någon organisation. Om en organisation tar del av sådana uppgifter trots allt är det inget som får behandlas i termer av lagring eller liknande.

Genetiska uppgifter

Genetiska uppgifter faller till viss del in under samma fack som etnicitet. Det är uppgifter som inte har någon relevans oavsett organisation. Såtillvida de inte är för medicinskt syfte och således faller in under medicinska uppgifter som kan vara centrala för vårdaktörer.

Undantag

Som vi nämnde här ovan finns det undantag från reglerna om känsliga uppgifter. Det mest självklara undantaget är om den registrerade själv uttryckligen har lämnat sitt samtycke till behandlingen av dessa uppgifter. Ett sådant samtycke ska dock vara väldigt klart och tydligt. Det räcker exempelvis inte med en liten ruta som ska bockas i på en hemsida – likt sättet cookies eller andra användarvillkor kan behandlas ibland. Utöver samtycket finns det en mängd andra undantag.

Skyldighet enligt arbetsrätt, social trygghet och socialt skydd

Om behandlingen av personuppgifter måste göras för att den som är personuppgiftsansvarig, eller den vars personuppgifter blir registrerade, ska kunna fullgöra sina skyldigheter och utöva sina rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd så får undantag göras från grundregeln.

Skydd av grundläggande intressen

Andra undantagsregler är exempelvis om uppgifterna är nödvändiga för att den registrerade eller den registrerande behöver uppgifterna för att fullgöra juridiska skyldigheter eller utöva sina rättigheter. Skulle en domstol behöva uppgifterna för att fastställa dom eller liknande får de också tillgång till uppgifterna liksom om uppgifterna är nödvändiga för att fullgöra en uppgift som är i allmänhetens intresse.

Behandlingar hos icke-vinstdrivande organisationer samt föreningar

Om en person är med i exempelvis ett politiskt förbund eller religiöst samfund behandlas med största sannolikhet uppgifter som anses vara känsliga. I dessa fall får sådana uppgifter behandlas om det görs inom ramen för organisationens verksamhet. Om uppgifterna däremot på något sätt lämnar organisationen så måste det göras med den registrerades samtycke.

Behandlingar av offentliggjorda personuppgifter

Har den registrerade personen offentliggjort sina egna personuppgifter i något sammanhang är detta att anse som samtycke till behandling. Då gäller inte längre förbudet mot hantering av känsliga uppgifter. Exempel på detta är om personen i fråga har gjort ett uttalande i TV eller tidning som röjer sådana känsliga uppgifter. Även inlägg på sociala medier kan vara att betrakta som sådant röjande.

Fastställande av rättsliga anspråk

Om behandling av känsliga uppgifter är nödvändigt för att fullgöra ett rättsligt anspråk får känsliga uppgifter också hanteras utan samtycke. Detta tangerar bestämmelsen om skydd av grundläggande intressen.

Viktigt allmänt intresse

För att skydda allmänheten kan känsliga personuppgifter ibland behöva hanteras. Mer explicit stöd för sådan hantering går att finna i exempelvis brottsdatalagen.

Hälso och sjukvård

Ett sista, tämligen självklart, exempel på när undantag får göras från huvudregeln är när man är inlagd för vård eller har kontakt med någon annan medicinsk aktör. Då måste sjukvården såklart få ta del av ens hälsostatus och sådana relaterade uppgifter.