Vad en personuppgift är har jag redan berört i ett tidigare inlägg, läs mer om det här. I detta inlägg tänkte jag istället försöka bringa lite klarhet i den begreppsförvirring som jag ofta springer på när jag är ute och diskuterar frågor om personuppgiftslagen (PUL), dataskydd eller GDPR.
Både PUL och GDPR gör skillnad på personuppgifter och känsliga personuppgifter, bland annat vid fastställande av vilken laglig grund den personuppgiftsansvarige har för behandlingen men även vilka tekniska och organisatoriska skyddsåtgärder som anses lämpliga att införa. I GDPR benämns dessa uppgifter i förordningstextens art 9 för särskilda kategorier av personuppgifter och i stödtexterna till förordningen nämns endast begreppet känsliga personuppgifter någon enstaka gång. För att ytterligare späda på förvirring talar Datainspektionen ibland om integritetskänsliga personuppgifter.
Men vad som är känsligt för gemene man behöver inte nödvändigtvis motsvara vad som anses utgör känsliga personuppgifter enligt PUL och GDPR.
Jag tänkte därför försöka mig på att bryta ner de olika typerna av personuppgifter med exempel.
Personuppgifter
Enligt definitionen i GDPR (se art 4) är en personuppgift ”varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare. som ett namn, ett identifikationsnummer […]”
Namn, personnummer m.fl. utgör personuppgifter som direkt identifierar en person. Ett ip-nummer kan i vissa fall istället indirekt identifiera en person. Oavsett om uppgiften direkt eller indirekt identifierar en person utgör den en personuppgift.
Känsliga personuppgifter
Känsliga personuppgifter enligt GDPR omfattar:
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i fackförening
- genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person
- uppgifter om hälsa
- uppgifter om en fysisk persons sexualliv eller sexuella läggning
Särskilt integritetskänsliga uppgifter
Särskilt integritetskänsliga uppgifter är uppgifter inom framför allt bank- och försäkringsområdet som avser enskilds personliga eller ekonomiska förhållanden, dvs. t.ex.
- kontonummer
- uppgift om försäkringsskydd
- utbetalningar av ersättningar
- kontohavanden
Även om dessa uppgifter i folkmun skulle anses som känsliga utgör de inte per definition känsliga personuppgifter, vare sig enligt PUL eller GDPR. Datainspektionen har däremot uttalat denna typ av uppgifter ska betraktas som känsliga personuppgifter vid fastställande av vilka lämpliga skyddsåtgärder den personuppgiftsansvarige ska vidta för att skydda de behandlade uppgifterna.
Har du någon fråga kring de olika typerna av personuppgifter? Lämna gärna en fråga eller kommentar nedan.
Hej!
Vad gäller skyddad identitet och GDPR? De verkar inte omfattas av ”känsliga personuppgifter”.
Hej Anna,
Tack för din fråga! En skyddad identitet, eller skyddade personuppgifter, kan man få av Skatteverket. Det finns lite olika nivåer av skydd man kan erhålla, där den mest ingripande är fingerade personuppgifter. Dvs. att man får helt nya personuppgifter. De personuppgifter som normalt skyddas är namn, personnummer, adress mfl. och även motsvarande uppgifter till eventuella barn. Denna typ av uppgifter, t.ex. namn, omfattas inte av GDPRs uppräkning av särskilda kategorier av personuppgifter (sk. känsliga personuppgifter), som ju t.ex. är uppgift om hälsa, sexualliv, facklig tillhörighet osv. Uppräkningen i GDPR av känsliga uppgifter är i princip uttömmande.
Oavsett detta är det min uppfattning att företag som behandlar skyddade identiteter ändå ska hantera dessa uppgifter som om de vore känsliga personuppgifter vid bedömning av vilka organisatoriska och tekniska säkerhetsåtgärder som ska vidtas för att skydda uppgifterna. Dvs. skydda dina skyddade identiteter som om de vore känsliga personuppgifter!
Hoppas det förtydligar rättsläget något!
Tack för svar.
Jag är enig med dig, det är både etiskt rätt och visar respekt för personlig integritet.
Tycker ändå att det är rätt märkligt att det inte finns något i GDPR, som anger att den typen av identitet är särskilt skyddsvärda. Liknande konstruktioner för att skydda individer torde finnas i fler EU-länder.
Hej,
Ni har en bra och uttömmande information på hemsidan och i övrigt. Det jag reagerade var under känslig personuppgifter där ni skriver ”ras eller etniskt ursprung”. Det låter litet som i USA där många anser att afrikaner, indianer och vita amerikaner är tre olika raser. Men, det finns endast en levande ras av människan och det är homo sapiens. Att vi har olika utseende beror ju på mutationer och den miljö vi utsatts för under evolutionen. Jag tycker ni borde skriva endast ”etnisk ursprung” som mera syftar på varifrån på jorden man kommer eller genetiska egenskaper.
Hej Thor,
Anledningen till att vi använder begreppet ”ras” är att det är just det begreppet (konstigt nog) som används i lagtexten (art 9.1 GDPR). I alla andra lagstiftningstexter har man valt att utesluta detta begrepp men inte i dataskyddsförordningen.
MVH
Dataskyddsombud.nu
Hej, min arbetsgivare har utan mitt tillstånd publicerat att jag är sjukskriven. Oerhört kränkande då jag inte själv berättat detta för mina vänner och familj.
Detta kan inte vara ok? Vad gäller ? Tacksam för svar
Hej! Det är inte ok för arbetsgivaren att publicera detta öppet för andra att läsa och ta del av. En sjukskrivningsuppgift utgör en känslig personuppgift och är extra skyddsvärd. Att exponera den för utomstående på det sätt som jag tolkar har skett utgör ett brott mot GDPR och är straffsanktionerat.
Hej!
Nu är det ju ett bra tag sedan du skrev detta inlägg, men jag blir nyfiken på det här med kontonummer. Enligt inlägget har Datainspektionen uttryckt att ”denna typ av uppgifter ska betraktas som känsliga personuppgifter vid fastställande av vilka lämpliga skyddsåtgärder den personuppgiftsansvarige ska vidta för att skydda de behandlade uppgifterna.” Är detta fortfarande Datainspektionens syn på kontonummer och liknande uppgifter? Jag kan nämligen inte hitta någon information om detta på deras egen hemsida. Har de tagit någon ställning till var de står efter att GDPR har trätt i kraft?
Kontonummer anses som känsliga personuppgifter vid fastställande av säkerhetsåtgärder inom bank och försäkring (tillsammans med andra uppgifter om ekonomiska eller personliga förhållanden). Gällande verksamhet som inte rör bank och försäkringsrörelse har Datainspektionen inte gjort några liknande uttalandet mig veterligt.
Hej,
I vilken kategori räknas personnummer?
Med anledning av rot så måste fakturorna innehålla personnr.
Är det ok att maila ut fakturor med personnr?
Hej Christina,
Tack för din fråga. Personnummer utgör ingen känslig personuppgift enligt definitionen i GDPR. Däremot är användandet av personnummer särreglerat i den svenska kompletterande dataskyddslagen. Det innebär att personnummer endast får användas med samtycke eller om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.
Trots att personnummer inte är en per definition känslig personuppgift anses personnummer vara extra skyddsvärda. Därför bör man exponera personnummer så lite som möjligt. Personnummer ska enligt Datainspektionen t.ex. inte finnas på adressetiketter, i kuvertfönster eller i försändelser som sänds utan kuvert så att de är synliga för vem som helst. Enligt Datainpektionens rekommendationer får inte känsliga personuppgifter mailas utan att ytterligare säkerhetsåtgärder vidtas. Eftersom personnummer inte är en känslig personuppgift drar jag slutsatsen att det i normalfallet är ok att maila uppgifter om situationen kräver. Undantaget är t.ex. om personen i fråga har skyddad identitet då min bedömning är att sådana uppgifter inte får mailas överhuvudtaget.
Hej!
Hur ser GDPR på data gällande brott / brottsoffer?
Om en produktion som t.ex tunnelbanan (kanal 5) skulle avidentifiera ett brottsoffer och sedan sända programmet, får dem göra det då MOT personens vilja? Att avidentifiera i detta fall är att förvränga röst och blurra ansikte. Tänker att mycket inom ett sådant bildmaterial fortfarande går att koppla till den avidentifierade personen.
🙂
Kanal 5 använder sig att det journalistiska undantaget i sina produktioner och behöver därför inte följa GDPR fullt ut. Däremot finns det andra pressetiska förhållningsregler att ta hänsyn till och som innebär att identiteter normalt döljs i dessa sammanhang.