Känsliga personuppgifter, uppgifter om brott och personnummer

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv, men även personuppgifter som rör lagöverträdelser som innefattar brott. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga.

I Sverige arbetar för närvarande ett antal utredningar med att se över och ta fram kompletterande svensk lagstiftning när det gäller känsliga personuppgifter, uppgifter om lagöverträdelser och personnummer.
 

Detta är känsliga personuppgifter

Med känsliga personuppgifter avses uppgifter om

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter och
  • biometriska uppgifter som entydigt identifierar en person.

Genetiska och biometriska uppgifter liksom uppgifter om sexuell läggning är nya kategorier som lagts till som känsliga uppgifter i dataskyddsförordningen jämfört med personuppgiftslagen.

Genetiska uppgifter är personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken, vilka till exempel kan framgå av en dna-analys. Biometriska uppgifter är personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken som erhållits genom en särskild teknisk behandling, till exempel fingeravtrycksuppgifter.
 

När känsliga personuppgifter får behandlas

Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter. Det finns dock en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall, till exempel om det finns ett uttryckligt samtycke. Vissa av undantagen innehåller hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder måste vidtas på varje medlemsstats nivå för att undantagen ska vara tillämpliga. I Sverige arbetar för närvarande ett antal utredningar med att se över och ta fram kompletterande svensk lagstiftning.

Precis som vid all personuppgiftsbehandling måste den som behandlar känsliga personuppgifter alltid följa de grundläggande principerna för behandling av personuppgifter, ha en rättslig grund för behandlingen samt uppfylla övriga bestämmelser i dataskyddsförordningen och kompletterande bestämmelser i nationell rätt.
 

Personuppgifter som rör lagöverträdelser

Behandling av personuppgifter som rör lagöverträdelser som innefattar brott, fällande domar i brottmål och straffprocessuella tvångsmedel (till exempel häktning, reseförbud, beslag) får enligt dataskyddsförordningen endast utföras under kontroll av myndighet. Sådan behandling får också ske om den är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt och det i den lagstiftningen finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.

Frågan om vilket utrymme som bör finnas i svensk rätt för andra än myndigheter att behandla personuppgifter om lagöverträdelser har hanterats av Dataskyddsutredningen. Utredningen har föreslagit att sådan behandling ska få ske om behandlingen är nödvändig för att göra gällande ett rättsligt anspråk eller om behandlingen avser enstaka uppgifter och är nödvändig antingen för att göra en brottsanmälan till polis eller för att kunna uppfylla en rättslig förpliktelse. Därutöver föreslås att Datainspektionen ska kunna tillåta behandling av uppgifter om lagöverträdelser i andra fall.

Precis som vid all personuppgiftsbehandling måste den som behandlar personuppgifter som rör lagöverträdelser alltid följa de grundläggande principerna för behandling av personuppgifter, ha en rättslig grund för behandlingen samt uppfylla övriga bestämmelser i dataskyddsförordningen och kompletterande bestämmelser i nationell rätt.
 

Personnummer och samordningsnummer

Dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifieringsnummer, det vill säga ett personnummer eller samordningsnummer, får behandlas.

Frågan om hur personnummer och samordningsnummer ska regleras i svensk rätt har hanterats av Dataskyddsutredningen som har föreslagit att sådana uppgifter ska få behandlas bara om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen motsvarar tidigare bestämmelse i personuppgiftslagen.

Precis som vid all personuppgiftsbehandling måste den som behandlar personuppgifter som rör personnummer och samordningsnummer alltid följa de grundläggande principerna för behandling av personuppgifter, ha en rättslig grund för behandlingen samt uppfylla övriga bestämmelser i dataskyddsförordningen och kompletterande bestämmelser i nationell rätt.
 

Svensk version av dataskyddsförordningen (webbversion)

Svensk version av dataskyddsförordningen (pdf-version)

Engelsk version av dataskyddsförordningen (pdf-version)
 

Läs mer om:

Grunderna i dataskyddsförordningen
Dataskyddsförordningens beaktandesatser (skäl)
Enkla grunder i dataskydd
Dataskyddsförordningens syfte
Missbruksregeln upphör
Dataskyddsförordningens tillämpningsområde
Principer för behandling av personuppgifter
Rättslig grund för personuppgiftsbehandling
De registrerades rättigheter
Skyldigheter för de som behandlar personuppgifter
 

Källa:

Datainspektionen