Hva regnes for å være sensitive personopplysninger?
Sensitive personopplysninger er opplysninger om en persons:
- rasemessige eller etniske bakgrunn
- politiske oppfatning
- religion
- filosofiske overbevisning
- medlemskap i fagforening
- helseforhold (som eks. allergier, sykefravær, legebesøk og graviditet)
- seksuelle forhold og orientering
- genetiske og biometriske opplysninger, når formålet er å identifisere en person
Opplistingen av særlige kategorier personopplysninger er uttømmende.
Hva med personnummer?
Personnummer er ikke en personopplysning som regnes blant de særlige kategoriene av personopplysninger. Personnumre må behandles som mer alminnelige personopplysninger.
Du kan behandle sensitive personopplysninger hvis du har særskilt behandlingsgrunnlag
Det er i utgangspunktet forbudt å behandle sensitive opplysninger, men reglene åpner opp for lovlig behandling hvis du har særskilt behandlingsgrunnlag. Det er strenge regler for beskyttelse av sensitive opplysninger, og det er derfor strengere krav til behandlingsgrunnlaget som kreves for sensitive opplysninger enn for alminnelige personopplysninger. Skal du behandle sensitive personopplysninger må du derfor på forhånd sikre deg at riktig behandlingsgrunnlag er på plass.
Du kan lese mer om behandlingsgrunnlag for alminnelige personopplysninger her.
Aktuelle behandlingsgrunnlag for deg som arbeidsgiver
Det er ti mulige behandlingsgrunnlag for sensitive personopplysninger. De mest aktuelle behandlingsgrunnlagene for bedrifter er:
- Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål. Les mer om dette i vår artikkel om samtykke som behandlingsgrunnlag.
- Behandlingen er nødvendig for at bedriften eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett. Kort sagt betyr dette at en arbeidsgiver kan behandle sensitive personopplysninger hvis det er nødvendig for å gjennomføre lovpålagte eller tariffbestemte plikter og rettigheter man har som arbeidsgiver.
- Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort. Eksempler er kjente folkevalgte eller religiøse ledere eller en person som har bekreftet helseforhold i medieoppslag.
- Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet.
- Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål etter nærmere regler.
- Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav. Dette er aktuelt dersom arbeidsgiver for eksempel har grunn til å tro at oppsigelse av en medarbeider vil kunne bli bestridt eller på annen måte vil gi et rettslig etterspill.
For bedrifter som behandler sensitive opplysninger om privatkunder vil uttrykkelig samtykke være det mest aktuelle behandlingsgrunnlaget, se nr. 1. Som regel er ikke samtykke godt nok behandlingsgrunnlag for opplysninger om en ansatt. Dersom det er behov for å behandle sensitive opplysninger knyttet til en ansatt bør arbeidsgiver derfor bruke et annet særskilt behandlingsgrunnlag.
De fire øvrige behandlingsgrunnlagene vil sjelden være aktuelle for bedrifter:
6. Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser
7. Behandlingen utføres av et ideelt organ av politisk, religiøs eller fagforeningsmessig art
8. Behandlingen er nødvendig av hensyn til viktige samfunnsinteresser
9. Behandlingen er nødvendig av allmenne folkehelsehensyn
De seks grunnkravene til behandling av personopplysninger gjelder for all behandling av personopplysninger, også når det er en rettslig forpliktelse som er behandlingsgrunnlag.
Merk at dersom du som skal behandle sensitive personopplysninger i stort omfang, må du først vurdere konsekvensene av dette for personvernet. Du finner veiledning om dette på Datatilsynets nettsider.