meny

När känsliga personuppgifter får behandlas

Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter, men det finns en rad undantag. Ni måste alltså hitta ett undantag som gäller för just er om ni vill behandla känsliga personuppgifter. Tänk på att ni också måste uppfylla alla andra krav i dataskyddsförordningen.

Datainspektionen kommer inte att kunna avgöra om ni kan behandla känsliga personuppgifter. Det kan bara ni avgöra, som känner er verksamhet och vet vilka regler som gäller för er.

I vissa fall räcker det att ni tittar i dataskyddsförordningen

I några fall framgår undantagen direkt av dataskyddsförordningen:

• Om de registrerade har lämnat uttryckligt samtycke

Om de registrerade uttryckligen har samtyckt till det får ni behandla känsliga personuppgifter, men bara för det ändamål som de registrerade har godkänt.

Läs mer om samtycke

• För att skydda någons grundläggande intressen

Om den registrerade är fysiskt eller rättslig förhindrad att ge sitt samtycke och behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen.

Exempel: En person har plötsligt blivit sjuk och förlorat medvetandet. Dennes personuppgifter behandlas för att kontrollera blodgrupp och sjukdomshistoria och för att kontakta anhöriga.

• Inom vissa ideella organisationer

Om ni är en ideell organisation med politiskt, filosofiskt, religiöst eller fackligt syfte får ni behandla känsliga personuppgifter om era medlemmar, tidigare medlemmar och vissa andra personer som har regelbunden kontakt med er. Det kan till exempel vara kyrkobesökare, bidragsgivare och hjälpmottagare. Ni får inte lämna ut personuppgifterna till någon utan den registrerades samtycke.

• När någon själv har offentliggjort de känsliga uppgifterna

Om någon på eget initiativ på ett tydligt sätt har offentliggjort känsliga uppgifter om sig själv får andra också behandla de uppgifterna.

Exempel: En person framträder i tv och företräder en viss politisk åsikt eller en religiös övertygelse, eller berättar om sin sjukdom. Den personen har själv offentliggjort uppgifter.

Obs! Det är personens avsikt som avgör om man kan säga att den själv har offentliggjort uppgifterna. Den som bara deltar i ett möte som anordnats av en fackförening har troligen inte haft som avsikt att berätta offentligt att den är medlem i fackföreningen. Samma sak gäller för uppgifter som förekommer i en rättegång i domstol.

• Om det behövs för rättsliga anspråk eller inom domstolarnas dömande verksamhet

Känsliga personuppgifter får behandlas när det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.

Exempel:

  • Ett försäkringsbolag behöver samla uppgifter om en persons sjukdom, för att kunna bedöma rätten till försäkringsersättning enligt ett försäkringsavtal.
  • En skola behöver uppgifter som avslöjar etniskt ursprung, för att en elev ska få rätt till modersmålsundervisning enligt grundskoleförordningen.
  • En hyresvärd behöver samla på sig uppgifter om en hyresgäst som stör sina grannar till följd av missbruk för att i framtiden eventuellt kunna häva hyresavtalet.
  • Känsliga personuppgifter får också behandlas när behandlingen är nödvändig som en del av domstolarnas dömande verksamhet.

Ibland måste ni följa kompletterande dataskyddsbestämmelser

I vissa fall räcker det inte att titta i dataskyddsförordningen för att hitta undantag mot förbudet mot att behandla känsliga personuppgifter. Ni måste dessutom söka stöd i svensk eller europeisk lagstiftning eller i kollektivavtal. Den kompletterande dataskyddslagen innehåller till exempel några generella bestämmelser som gör det möjligt att behandla känsliga personuppgifter.

Ni behöver stöd i andra lagar och regler för att få behandla känsliga personuppgifter på dessa områden:

• Inom arbetsrätt, social trygghet och socialt skydd – när det behövs för arbetet

Arbetsgivare, arbetstagare, fackliga organisationer och arbetsgivarorganisationer får behandla känsliga personuppgifter för att fullgöra sina skyldigheter eller utöva sina rättigheter med koppling till arbetslivet.

Exempel:

  • En arbetsgivare ska betala ut sjuklön eller genomföra rehabilitering av en arbetstagare.
  • En arbetsgivare, ett fackförbund eller en arbetsgivarorganisation ska erbjuda eller förmedla tjänstepensioner och olika typer av gruppförsäkringar.
  • En arbetsgivare ska lämna vissa personuppgifter till fackföreningar enligt diskrimineringslagen.

Ni måste ha stöd i lag eller kollektivavtal

För att det här undantaget ska gälla måste behandlingen vara tillåten enligt svensk rätt eller kollektivavtal som även fastställer lämpliga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

Kompletterande bestämmelse i dataskyddslagen om att lämna ut uppgifter

Dataskyddslagen säger, precis som dataskyddsförordningen, att det är tillåtet att behandla känsliga personuppgifter inom områdena arbetsrätt, social trygghet och socialt skydd. Dataskyddslagen förtydligar dock att den som behandlar känsliga personuppgifter bara får lämna ut dem till en utomstående om det finns en uttrycklig skyldighet att göra det i en lag, ett myndighetsbeslut eller ett på grund av ett avtal, eller med ett uttryckligt samtycke.

• När det är nödvändigt för ett viktigt allmänt intresse

Om det är nödvändigt av hänsyn till ett viktigt allmänt intresse är det tillåtet att behandla känsliga personuppgifter. Detta kan vara fallet när en myndighet tar emot personuppgifter och enligt lag måste behandla dem, om behandlingen är nödvändig för att myndigheten ska kunna handlägga ett ärende eller om behandlingen är nödvändig med hänsyn till viktigt allmänt intresse. Vad som kan vara ett viktigt allmänt intresse är inte helt klart.

Ett exempel på ett viktigt allmänt intresse är den grundlagsfästa rätten att ta del av allmänna handlingar. Ordning och reda bland allmänna handlingar är en förutsättning för att handlingsoffentligheten ska fungera och fylla sitt syfte.

Kompletterande bestämmelse i dataskyddslagen

Den här bestämmelsen i dataskyddslagen är avsedd för offentlig verksamhet där det saknas sektorspecifik reglering om personuppgifter. Många myndigheter har dock sektorsspecifika lagar.

Läs mer om myndigheter och känsliga personuppgifter

• Inom hälso- och sjukvård och social omsorg

Ni får behandla känsliga personuppgifter inom hälso- och sjukvård och social omsorg om det finns stöd för det i unionsrätten eller nationell rätt, som till exempel patientdatalagen.

Det finns dock verksamheter inom hälso- och sjukvård och social omsorg som inte kan stödja sig på specifik nationell rätt, såsom patientdatalagen. De får söka stöd i dataskyddslagen.

Kompletterande bestämmelse i dataskyddslagen

Dataskyddslagen förtydligar när det är tillåtet att behandla känsliga personuppgifter inom hälso- och sjukvård och social omsorg för den som inte kan stödja sig på annan lag:

  • förebyggande hälso- och sjukvård och yrkesmedicin
  • bedömningen av en arbetstagares arbetskapacitet
  • medicinska diagnoser
  • tillhandahållande av hälso- och sjukvård eller behandling
  • social omsorg eller förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.

För att dessa undantag från förbudet att behandla känsliga personuppgifter ska vara tillämpliga så måste den som behandlar personuppgifterna uppfylla kraven på tystnadsplikt som finns i artikel 9.3 i dataskyddsförordningen.

• På folkhälsoområdet

Den som enligt lag ska utföra en uppgift på folkhälsoområdet kan få behandla känsliga personuppgifter. Det krävs dock alltid att det finns regler som skyddar den registrerades rättigheter, särskilt tystnadsplikt och regler om sekretess. Ett exempel på en myndighet som bedriver folkhälsoarbete är Folkhälsomyndigheten.

• För arkivändamål

Myndigheter och vissa andra är skyldiga att arkivera sina handlingar av olika skäl: som en del av det nationella kulturarvet, för att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och för forskningens behov. Även känsliga personuppgifter får behandlas om det är nödvändigt för att följa såna föreskrifter om arkiv.

Om ni behandlar en personuppgift enbart för att arkivera den, så får ni inte använda personuppgiften för något annat, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Den här användningsbegränsningen gäller dock inte personuppgifter som finns i allmänna handlingar.

• För forskningsändamål

Alla som forskar och då behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser behöver införa särskilda åtgärder för att skydda de registrerades grundläggande rättigheter och intressen. En sådan skyddsåtgärd kan vara etikprövning.

• För statistiska ändamål

Kompletterande bestämmelse i dataskyddslagen

Det kan vara nödvändigt att samla in och behandla känsliga personuppgifter för statistiska undersökningar och för att ta fram exempelvis verksamhetsstatistik. Det får ni göra om samhällsintresset klart väger över risken för otillbörligt intrång i enskildas personliga integritet. Om ni behandlar en personuppgift enbart för statistiska ändamål får ni inte använda personuppgiften för något annat, om det inte finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Ni ska alltså göra en avvägning och bedöma om statistiken bidrar mer till samhället än vad den riskerar att skada. Bedöm bland annat

  • hur viktigt statistikprojektet är, hur mycket nytta det gör i samhället
  • vilka personuppgifter som behöver behandlas
  • säkerheten för personuppgifterna
  • hur kostsamt/mödosamt/skadande det är att inhämta respektive inte inhämta de registrerades samtycke
  • om information om behandlingen kan lämnas via till exempel annons i tidning eller på liknande sätt
  • om det är enkelt eller svårt att identifiera enskilda personer.

Det kan också vara tillåtet att behandla känsliga personuppgifter för statistiska ändamål enligt andra lagar som ger tillräckligt skydd för de registrerades rättigheter och intressen.