Känsliga och extra skyddsvärda personuppgifter

Här hittar du information om de särskilda förutsättningar som finns för att få behandla känsliga personuppgifter, personuppgifter om lagöverträdelser samt uppgifter om person- och samordningsnummer.

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter. För att ändå få behandla känsliga personuppgifter [1] krävs att någon av undantagen är uppfyllda. Vissa av undantagen kräver ytterligare stöd i nationell rätt eller i unionsrätten.

Känsliga personuppgifter är personuppgifter som avslöjar

  • etniskt ursprung [2]
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • genetiska uppgifter
  • biometriska uppgifter för att entydigt identifiera en fysisk person
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning.

I svensk rätt finns generell kompletterande reglering gällande känsliga personuppgifter [3]. Den regleringen kan vara tillräcklig för att ge stöd för offentlig förvaltnings personuppgiftsbehandling, men det gäller att göra en noggrann bedömning i varje fall för att säkerställa att en giltig rättslig grund finns. För mer omfattande behandling av känsliga personuppgifter i myndigheters kärnverksamhet kan det dock behövas särskilda bestämmelser om behandlingen för att skapa en tillräckligt tydlig och förutsebar rättslig grund [4]. I många fall finns sådana bestämmelser i sektorsspecifika författningar om behandling av personuppgifter, som till exempel i patientdatalagen.

I lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen finns en bestämmelse som gäller för alla myndigheter när det saknas bestämmelser om känsliga personuppgifter i till exempel sektorsspecifika registerförfattningar [5]. Gör en noggrann bedömning av om er tänkta personuppgiftsbehandling kan ha stöd i någon eller flera av bestämmelsens tre olika punkter innan ni inleder behandlingen av de känsliga personuppgifterna. Om ni enbart stödjer er på den här bestämmelsen får ni inte utföra sökningar för att få fram ett urval av personer grundat på känsliga personuppgifter.

Myndigheter och andra som omfattas av offentlighetsprincipen får enligt den här bestämmelsen behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Myndigheter får också behandla känsliga personuppgifter om det är nödvändigt för handläggningen av ett ärende.

Dessutom får offentlig förvaltning behandla känsliga personuppgifter om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Den delen av en offentlig förvaltnings arbetsuppgifter som innefattar myndighetsutövning utgör ett viktigt allmänt intresse [6] liksom verksamhet som krävs för att offentlig förvaltning ska kunna utföra myndighetsutövning på ett korrekt, rättssäkert och effektivt sätt.

För att bedöma om det sker ett otillbörligt intrång [7] i den personliga integriteten, behöver ni bedöma ert behov av att behandla de känsliga personuppgifterna och sedan vikta det mot intresset för skydd av integriteten. Om ert behov av att behandla uppgifterna är mindre tydligt är det stor sannolikhet att intrånget bör betraktas som otillbörligt. Vid denna bedömning bör ni lägga vikt vid aspekter som uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.

Särskilt om personuppgifter som rör lagöverträdelser

Om personuppgiftsbehandlingen i innovationen omfattar personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder (personuppgifter som rör lagöverträdelser), så finns särskilda krav för att sådana ska få behandlas [8].

Precis som vid all annan personuppgiftsbehandling behöver de grundläggande principerna för dataskydd följas då eventuella personuppgifter som rör lagöverträdelser behandlas. Men utöver det så gäller att personuppgifter som rör lagöverträdelser endast får behandlas under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Att en myndighet får behandla uppgifter om lagöverträdelser framgår direkt av artikel 10 i dataskyddsförordningen och det har även tydliggjorts genom 3 kap. 8 § dataskyddslagen. Även om myndigheter inte behöver något särskilt rättsligt stöd för att behandla uppgifter om lagöverträdelser är behandling av sådana personuppgifter integritetskänslig och det krävs till exempel att högre nivåer av säkerhetsåtgärder omgärdar behandlingen [9].

Särskilt om personnummer och samordningsnummer

Personnummer och samordningsnummer [10] utgör inte känsliga personuppgifter, men de har getts ett särskilt skydd. Medlemsländerna kan införa särskilda villkor som ska säkerställa att uppgifterna bara får användas tillsammans med lämpliga skyddsåtgärder för de registrerades fri- och rättigheter [11].

Personnummer och samordningsnummer får endast behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl [12]. Det är viktigt att fundera över om det är nöd-vändigt att behandla person- eller samordningsnummer. Om syftet till exempel är identifiering, fundera om det går att använda andra typer av identifikationsnummer eller psedonymiserade person- och samordningsnummer.

Stödfrågor för att bedöma känsliga personuppgifter

  1. Kommer känsliga personuppgifter eller personuppgifter som rör lagöverträdelser eller personnummer/samordningsnummer att behandlas?
  2. Är det nödvändigt att behandla känsliga personuppgifter eller personuppgifter som rör lagöverträdelser eller personnummer/samordningsnummer?
  3. Med vilket rättsligt stöd behandlas känsliga personuppgifter eller personuppgifter som rör lagöverträdelser eller personnummer/samordningsnummer?
  4. Är något av undantagen i artikel 9.2 eller i 3 kap. 3 § dataskyddslagen tillämpligt?
    1. Om ja, är kraven i undantagsbestämmelsen, till exempel kravet på skyddsåtgärder, uppfyllt?
    2. Finns möjlighet med stöd av 3 kap. 8 § dataskyddslagen att behandla personuppgifter som rör lagöverträdelser?
  5. Finns det stöd för behandlingen till exempel i en registerförfattning eller i den allmänna regleringen i dataskyddlagen?
  6. Finns det risk att ni inte kan genomföra ert uppdrag på ett rättssäkert sätt om ni inte behandlar känsliga personuppgifter?
  7. Riskerar det sätt som innovationen är uppbyggd på med avseende på personuppgiftsbehandlingen att förenkla eller utföra sökning och sammanställning som grundats på känsliga personuppgifter?
  8. Har ni gjort noggranna bedömningar av uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet?
  9. Finns det rättsligt stöd för att behandla personnummer eller samordningsnummer?

Källhänvisningar

[1] Artikel 9 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[2] I dataskyddsförordningen (imy.se) Länk till annan webbplats. står det att uppgifter som avslöjar någons etniska ursprung eller ras är känsliga personuppgifter (skäl 51 och artikel 9.1 i dataskyddsförordningen benämner dessa för särskilda kategorier av personuppgifter). I svenska lagar använder vi inte längre ordet ras. I dataskyddsförordningen används ordet, men det står också att det inte innebär att EU godtar teorier om att det skulle finnas skilda människoraser (i skäl 51 anges ”Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser”).

[3] Se 3 kap. dataskyddslagen (riksdagen.se) Länk till annan webbplats.

[4] Se skäl 41 samt jfr Artikel 6.3 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[5] Se 3 kap. 3 § dataskyddslagen (riksdagen.se) Länk till annan webbplats.

[6] Jfr. Prop. 2017/18:105 s. 83 (riksdagen.se) Länk till annan webbplats.

[7] Jfr. Prop. 2017/18:105 s. 89 f (riksdagen.se) Länk till annan webbplats.

[8] Artikel 10 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt 3 kap. 8-9 §§ dataskyddslagen (riksdagen.se) Länk till annan webbplats.

[9] Läs mer i IMY:s Rättsligt ställningstagande IMYRS 2021:1 - innebörden av begreppet "personuppgifter som rör lagöverträdelser som innefattar brott" i artikel 10 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[10] Artikel 87 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt 3 kap. 10 och 11 §§ dataskyddslagen (riksdagen.se) Länk till annan webbplats.

[11] Jfr Prop. 2017/18:105 s. 101–102 (riksdagen.se) Länk till annan webbplats.

[12] Se 3 kap. 10 § dataskyddslagen (riksdagen.se) Länk till annan webbplats.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: