Behandling av särskilda kategorier av personuppgifter

Behandling av personuppgifter som hör till så kallade särskilda kategorier av personuppgifter är i princip förbjuden.

Sådana uppgifter redogör för personens

  • ras eller etniska ursprung
  • politiska åsikter
  • religiösa eller filosofiska övertygelse
  • medlemskap i fackförbund
  • hälsorelaterade uppgifter
  • sexuella läggning eller beteende
  • genetiska och biometriska uppgifter för identifiering av personen.

Dessa uppgifter ska skyddas särskilt noggrant, eftersom behandling av dessa kan orsaka avsevärda risker vad gäller personens grundläggande fri- och rättigheter.

När får särskilda kategorier av personuppgifter behandlas?

Personuppgifter som hör till särskilda kategorier av personuppgifter får behandlas, då ett undantag till förbudet föreskrivits i EU:s dataskyddsförordning eller separat i unionsrätten eller i den nationella lagstiftningen. Det är viktigt att identifiera om uppgifterna kan behandlas direkt utifrån dataskyddsförordningen eller om behandlingen förutom förordningen förutsätter separat lagstiftning eller ett avtalsförfarande.

Särskilda kategorier av personuppgifter kan behandlas direkt utifrån dataskyddsförordningen i följande fall:

  • När den registrerade lämnat ett uttryckligt samtycke till behandling av de berörda personuppgifterna.
  • När behandlingen är nödvändig för att skydda vitala intressen för en registrerad eller en annan person, i en situation där den registrerade har ett fysiskt eller juridiskt hinder för att lämna samtycke.
  • När personuppgifter behandlas inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen kan gälla samfundets medlemmar, tidigare medlemmar eller personer, med regelbundna till samfundets ändamål relaterade kontakter till samfundet. Uppgifterna får inte överlåtas utanför samfundet utan samtycke.
  • När behandlingen gäller personuppgifter, som den registrerade uttryckligen offentliggjort till exempel genom att publicera dem på sin webbplats.
  • När behandling behövs för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk. Därtill är behandling möjlig alltid då domstolarna utför sina rättskipningsuppgifter.
     

I följande fall är behandling inte möjlig direkt utifrån förordningen, utan den förutsätter därtill preciserande reglering eller annan reglering.

  • När behandling är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den utsträckning detta är tillåtet enligt unionsrätten eller en medlemsstats lagstiftning eller ett kollektivavtal. I detta samband ska det också föreskrivas om åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.
  • När behandling är nödvändig för att skydda ett viktigt allmänt intresse utifrån unionsrätten eller en medlemsstats lagstiftning. Den reglering som möjliggör regleringen ska stå i rätt proportion till det eftersträvade syftet och vara förenligt med det väsentliga innehållet i rätten till dataskydd. I detta samband ska det också föreskrivas om åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.
  • När behandling är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller en medlemsstats lagstiftning eller enligt avtal med yrkesverksamma på hälsoområdet. Förutsättningen är att uppgifterna behandlas enbart av en yrkesverksam person eller person som är bunden av lagstadgad sekretess.
  • När behandling är nödvändig av skäl av allmänt intresse på folkhälsoområdet utifrån unionsrätten eller en medlemsstats lagstiftning, som innehåller föreskrifter också om åtgärder som skyddar den registrerades rättigheter och friheter, i synnerhet om sekretessen.
  • När behandling är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt dataskyddsförordningen utifrån unionsrätten eller en medlemsstats lagstiftning. Den reglering som möjliggör regleringen ska stå i rätt proportion till det eftersträvade syftet och vara förenligt med det väsentliga innehållet i rätten till dataskydd. I detta samband ska det också föreskrivas om åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.