Hoppa till innehåll på sidan

När får ni behandla känsliga personuppgifter?

Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter, men det finns en rad undantag. Ni måste alltså hitta ett undantag som gäller för just er om ni vill behandla känsliga personuppgifter. Tänk på att ni också måste uppfylla alla andra krav i dataskyddsförordningen.

IMY kommer inte att kunna avgöra om ni kan behandla känsliga personuppgifter. Det kan bara ni avgöra, som känner er verksamhet och vet vilka regler som gäller för just er.

Det är alltid den personuppgiftsansvariga som ansvarar för hur och varför personuppgifter behandlas. Personuppgiftsansvarig är som huvudregel den som bestämmer för vilka syften (ändamål) personuppgifter får hanteras och hur den hanteringen ska gå till (medel). Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en statlig, regional eller kommunal myndighet.

Om du har frågor om hur dataskyddsförordningen ska tillämpas när du som medarbetare behandlar personuppgifter i din organisation ska du i första hand vända dig till den som är personuppgiftsansvarig. Det är den personuppgiftsansvariga som har ansvaret att informera och instruera dig om hur du ska gå till väga. Du är skyldig att följa de instruktioner som getts. Om det finns ett dataskyddsombud hos den personuppgiftsansvariga kan du även vända dig till denne för råd.

Undantag i dataskyddsförordningen

I några fall framgår undantagen direkt av dataskyddsförordningen:

Om de registrerade uttryckligen har samtyckt till det får ni behandla känsliga personuppgifter, men bara för det ändamål som de registrerade har godkänt.

Samtycke

Om den registrerade är fysiskt eller rättslig förhindrad att ge sitt samtycke och behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen.

Exempel: En person har plötsligt blivit sjuk och förlorat medvetandet. Dennas personuppgifter behandlas för att kontrollera blodgrupp och sjukdomshistoria och för att kontakta anhöriga.

Om ni är en ideell organisation med politiskt, filosofiskt, religiöst eller fackligt syfte får ni behandla känsliga personuppgifter om era medlemmar, tidigare medlemmar och vissa andra personer som har regelbunden kontakt med er. Det kan till exempel vara kyrkobesökare, bidragsgivare och hjälpmottagare. Ni får inte lämna ut personuppgifterna till någon utan den registrerades samtycke.

Om någon på eget initiativ på ett tydligt sätt har offentliggjort känsliga uppgifter om sig själv får andra också behandla de uppgifterna.

Exempel: En person framträder i tv och företräder en viss politisk åsikt eller en religiös övertygelse, eller berättar om sin sjukdom. Den personen har själv offentliggjort uppgifter.

Obs! Det är personens avsikt som avgör om man kan säga att den själv har offentliggjort uppgifterna. Den som bara deltar i ett möte som anordnats av en fackförening har troligen inte haft som avsikt att berätta offentligt att den är medlem i fackföreningen. Samma sak gäller för uppgifter som förekommer i en rättegång i domstol.

Känsliga personuppgifter får behandlas när det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.

Exempel:

  • Ett försäkringsbolag behöver samla uppgifter om en persons sjukdom, för att kunna bedöma rätten till försäkringsersättning enligt ett försäkringsavtal.
  • En skola behöver uppgifter som avslöjar etniskt ursprung, för att en elev ska få rätt till modersmålsundervisning enligt grundskoleförordningen.
  • En hyresvärd behöver samla på sig uppgifter om en hyresgäst som stör sina grannar till följd av missbruk för att i framtiden eventuellt kunna häva hyresavtalet.
  • Känsliga personuppgifter får också behandlas när behandlingen är nödvändig som en del av domstolarnas dömande verksamhet.

 

Ibland måste ni följa kompletterande dataskyddsbestämmelser

I vissa fall räcker det inte att titta i dataskyddsförordningen för att hitta undantag mot förbudet mot att behandla känsliga personuppgifter. Ni måste dessutom söka stöd i svensk eller europeisk lagstiftning eller i kollektivavtal. Den kompletterande dataskyddslagen innehåller till exempel några generella bestämmelser som gör det möjligt att behandla känsliga personuppgifter.

Ni behöver stöd i andra lagar och regler för att få behandla känsliga personuppgifter på dessa områden:

Arbetsgivare, arbetstagare, fackliga organisationer och arbetsgivarorganisationer får behandla känsliga personuppgifter för att fullgöra sina skyldigheter eller utöva sina rättigheter med koppling till arbetslivet.

Exempel:

  • En arbetsgivare ska betala ut sjuklön eller genomföra rehabilitering av en arbetstagare.
  • En arbetsgivare, ett fackförbund eller en arbetsgivarorganisation ska erbjuda eller förmedla tjänstepensioner och olika typer av gruppförsäkringar.
  • En arbetsgivare ska lämna vissa personuppgifter till fackföreningar enligt diskrimineringslagen.

Ni måste ha stöd i lag eller kollektivavtal

För att det här undantaget ska gälla måste behandlingen vara tillåten enligt svensk rätt eller kollektivavtal som även fastställer lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

Kompletterande bestämmelse i dataskyddslagen om att lämna ut uppgift

Dataskyddslagen säger, precis som dataskyddsförordningen, att det är tillåtet att behandla känsliga personuppgifter inom områdena arbetsrätt, social trygghet och socialt skydd. Dataskyddslagen förtydligar dock att den som behandlar känsliga personuppgifter bara får lämna ut dem till en utomstående om det finns en uttrycklig skyldighet att göra det i en lag, ett myndighetsbeslut eller på grund av ett avtal, eller med ett uttryckligt samtycke.

Om det är nödvändigt av hänsyn till ett viktigt allmänt intresse är det tillåtet att behandla känsliga personuppgifter. Detta kan vara fallet när en myndighet tar emot personuppgifter och enligt lag måste behandla dem, om behandlingen är nödvändig för att myndigheten ska kunna handlägga ett ärende eller om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Vad som kan vara ett viktigt allmänt intresse är inte helt klart.

Exempel: Den grundlagsfästa rätten att ta del av allmänna handlingar är ett viktigt allmänt intresse. Ordning och reda bland allmänna handlingar är en förutsättning för att handlingsoffentligheten ska fungera och fylla sitt syfte.

Kompletterande bestämmelse i dataskyddslagen

Den här bestämmelsen i dataskyddslagen är avsedd för offentlig verksamhet där det saknas sektorsspecifik reglering om personuppgifter. Många myndigheter har dock sektorsspecifika lagar.

Myndigheter och känsliga personuppgifter

Ni får behandla känsliga personuppgifter inom hälso- och sjukvård och social omsorg om det finns stöd för det i unionsrätten eller nationell rätt, som till exempel patientdatalagen.

Det finns dock verksamheter inom hälso- och sjukvård och social omsorg som inte kan stödja sig på specifik nationell rätt, till exempel patientdatalagen. De får söka stöd för sin behandling av känsliga personuppgifter i dataskyddslagen.

Kompletterande bestämmelse i dataskyddslagen

Dataskyddslagen förtydligar när det är tillåtet att behandla känsliga personuppgifter inom hälso- och sjukvård och social omsorg för den som inte kan stödja sig på annan lag:

  • förebyggande hälso- och sjukvård och yrkesmedicin
  • bedömningen av en arbetstagares arbetskapacitet
  • medicinska diagnoser
  • tillhandahållande av hälso- och sjukvård eller behandling
  • social omsorg eller förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.

För att dessa undantag från förbudet att behandla känsliga personuppgifter ska vara tillämpliga så måste den som behandlar personuppgifterna uppfylla kraven på tystnadsplikt som finns i artikel 9.3 i dataskyddsförordningen.

Den som enligt lag ska utföra en uppgift på folkhälsoområdet kan få behandla känsliga personuppgifter. Det krävs dock alltid att det finns regler som skyddar den registrerades rättigheter, särskilt tystnadsplikt och regler om sekretess. Ett exempel på en myndighet som bedriver folkhälsoarbete är Folkhälsomyndigheten.

Myndigheter och vissa andra är skyldiga att arkivera sina handlingar av olika skäl

  • som en del av det nationella kulturarvet
  • för att tillgodose rätten att ta del av allmänna handlingar
  • behovet av information för rättskipningen och förvaltningen och för forskningens behov.

Även känsliga personuppgifter får behandlas om det är nödvändigt för att följa sådana föreskrifter om arkiv.

Om ni behandlar en personuppgift enbart för att arkivera den, så får ni inte använda den för något annat, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Den här användningsbegränsningen gäller dock inte personuppgifter som finns i allmänna handlingar.

Alla som forskar och då behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser behöver vidta särskilda åtgärder för att skydda de registrerades grundläggande rättigheter och intressen. En sådan skyddsåtgärd kan vara etikprövning.

Kompletterande bestämmelse i dataskyddslagen

Det kan vara nödvändigt att samla in och behandla känsliga personuppgifter för statistiska undersökningar och för att ta fram exempelvis verksamhetsstatistik. Det får ni göra om samhällsintresset klart väger över risken för otillbörligt intrång i enskildas personliga integritet. Om ni behandlar en personuppgift enbart för statistiska ändamål får ni inte använda den för något annat, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Ni ska alltså göra en avvägning och bedöma om statistiken bidrar mer till samhället än vad den riskerar att skada. Bedöm bland annat

  • hur viktigt statistikprojektet är, hur mycket nytta det gör i samhället
  • vilka personuppgifter som behöver behandlas
  • säkerheten för personuppgifterna
  • hur kostsamt/mödosamt/skadande det är att inhämta respektive inte inhämta de registrerades samtycke
  • om information om behandlingen kan lämnas via till exempel annons i tidning eller på liknande sätt
  • om det är enkelt eller svårt att identifiera enskilda personer.

Det kan också vara tillåtet att behandla känsliga personuppgifter för statistiska ändamål enligt andra lagar som ger tillräckligt skydd för de registrerades rättigheter och intressen.

 

Känsliga personuppgifter och e-post

Undvik e-post för känsliga eller integritetskänsliga uppgifter. Om ni måste använda e-post för integritetskänsliga uppgifter, använd e-post som är skyddad med kryptering så att endast den avsedda mottagaren kan ta del av uppgifterna.

Försök att i möjligaste mån styra bort från att enskilda skickar in känsliga personuppgifter via oskyddad e-post. Om ni får in känsliga uppgifter via e-post, se till att de tas bort från e-postsystemet så snart som möjligt. Om ni får lagra den typen av uppgifter bör ni så snart som möjligt överföra dem till det system där de hör hemma – till exempel ett ärendehanteringssystem.

Vanlig post eller rekommenderat

Det är upp till er som personuppgiftsansvarig att bedöma med hänsyn till risken med den specifika behandlingen. Ju känsligare uppgifter, desto större blir riskerna och därmed ökar kraven på säkerhet.

Senast uppdaterad: 27 juni 2023
Sidans etiketter Dataskydd