Hva regnes som sensitive personopplysninger?

103 visninger
hva regnes som sensitive personopplysninger? De er personopplysninger som krever eksplisitt samtykke eller faller inn under unntak som: Uttrykkelig samtykke Arbeidsrett og trygd Vitale interesser Ideell virksomhet (politisk, filosofisk, religiøst, fagforeningsformål) Helseformål Forskning Ved feilaktig behandling av sensitive personopplysninger er gebyret opptil 20 millioner euro eller 4 % av global omsetning.
Kommentar 0 liker
Kanskje du også vil spørre om dette?Mer

Sensitive personopplysninger: Opptil 20 millioner euro i gebyr

hva regnes som sensitive personopplysninger? Dette er et sentralt spørsmål for enhver virksomhet som behandler personopplysninger. Feilaktig håndtering medfører alvorlige konsekvenser og betydelige bøter. For å unngå overtredelser er det viktig å kjenne til unntakene som tillater behandling av slike data. Les videre for en komplett oversikt.

Hva regnes som sensitive personopplysninger?

Kort fortalt er sensitive personopplysninger – eller «særlige kategorier av personopplysninger» som er det korrekte juridiske begrepet – opplysninger som avslører noe grunnleggende og privat om deg. Det kan være helsa di, hvem du er tiltrukket av, eller hva du tror på. Fordi slike opplysninger kan misbrukes til diskriminering eller urettferdig behandling, er hovedregelen i GDPR at det er forbudt å behandle dem. (citation:9)

Men dette betyr ikke at all «privat» informasjon er juridisk sensitiv. For eksempel er lønn, fødselsnummer og adresse ofte omtalt som sensitive i dagligtalen, men de faller utenfor den juridiske definisjonen i artikkel 9. De har likevel et sterkt vern gjennom andre deler av regelverket. (citation:9)

Helseopplysninger (den mest vanlige kategorien)

Dette er kanskje den mest kjente typen. Helseopplysninger omfatter alt fra journal data, legeerklæringer og sykemeldinger til mer hverdagslige ting som allergier, blodtype, informasjon om graviditet eller resultater fra en blodprøve. Også informasjon om fysisk eller psykisk sykdom, funksjonshemming eller bruk av helsetjenester regnes med. (citation:9)

Ta eksempelet fra virkeligheten: En fastlege tok bilde av en sju år gammel pasient med hovent ansikt etter et vepsestikk. Legens datter fikk senere tilgang til telefonen og så bildet av klassekameraten sin – en klassisk hendelse som illustrerer hvorfor helseopplysninger er så strengt regulert. (citation:3)

Biometriske og genetiske data

Biometriske data er fysiske eller atferdsmessige kjennetegn som kan brukes til å identifisere deg – for eksempel fingeravtrykk, ansiktsgjenkjenning, iris-skann eller stemmegjenkjenning. For at slike data skal regnes som sensitive, må de behandles spesifikt for å identifisere en person. Et ansiktsbilde i seg selv er ikke nødvendigvis sensitivt, men hvis det behandles for å kjenne deg igjen med ansiktsteknologi, er det i en særlig kategori. (citation:4)

Genetiske data gjelder arvelige egenskaper, som du finner i en DNA-prøve. Dette kan avsløre predisposisjoner for sykdommer eller etnisk opprinnelse, og har derfor et svært høyt personvernbehov. (citation:5)(citation:10)

Etnisitet, politikk og religion

Opplysninger om rasemessig eller etnisk opprinnelse er forbudt å behandle, nettopp for å hindre etnisk diskriminering. Det samme gjelder politisk oppfatning, religiøs tro eller filosofisk overbevisning. (citation:2)

For eksempel: En arbeidsgiver kan ikke systematisk registrere hvilket parti de ansatte stemmer på, eller hvilken kirke de går i, med mindre det finnes et eksplisitt unntak (for eksempel for ideelle organisasjoner som behandler egne medlemmers data).

Fagforeningsmedlemskap og seksuelle forhold

Medlemskap i en fagforening regnes som sensitivt. Dette kan virke overraskende, men hensikten er å beskytte den ansattes rett til å organisere seg uten frykt for gjengjeldelse fra arbeidsgiver. (citation:8)

Opplysninger om seksuelle forhold eller seksuell legning – hvem du elsker, hvordan du lever – er også i kjernen av privatlivet og dermed en særlig kategori. (citation:2)

Hva er IKKE sensitive personopplysninger? (vanlige misforståelser)

Mange tror at alt som er «privat» automatisk er «sensitive personopplysninger» i lovens forstand. Det stemmer ikke. Fødselsnummer, adresse, e-postadresse, IP-adresse, lønn, kredittvurderinger og eiendomsforhold er eksempler på «vanlige» personopplysninger. De er fortsatt strengt regulert av GDPR, og krever et behandlingsgrunnlag (for eksempel samtykke eller kontrakt), men de har ikke det absolutte forbudet som de særlige kategoriene har. (citation:9)

En annen egen kategori er opplysninger om straffedommer og lovovertredelser. Dette er ikke med i artikkel 9, men har et like sterkt vern og egne regler i norsk lov. (citation:2)

Når er det likevel lov å behandle sensitive opplysninger? (Unntakene)

Selv om hovedregelen er forbud, finnes det flere viktige unntak. For å vite hva regnes som sensitive personopplysninger i praksis, må du oppfylle både et vanlig behandlingsgrunnlag (artikkel 6) OG et unntak fra forbudet (artikkel 9.2). (citation:7)

Selv om hovedregelen er forbud, finnes det flere viktige unntak. For å behandle sensitive personopplysninger lovlig, må du oppfylle både et vanlig behandlingsgrunnlag (artikkel 6) OG et unntak fra forbudet (artikkel 9.2). (citation:7)

De vanligste unntakene er: Uttrykkelig samtykke: Personen må gi et frivillig, spesifikt, informert og utvetydig samtykke. For sensitive data stilles det strengere krav – samtykket må være «uttrykkelig».br Arbeidsrett og trygd: Nødvendig behandling for å oppfylle plikter eller rettigheter innen arbeidsliv, trygd og sosialrett. Vitale interesser: For å beskytte noens liv (for eksempel ved akutt medisinsk hjelp). Ideell virksomhet: For ideelle organisasjoner, stiftelser eller foreninger med politisk, filosofisk, religiøst eller fagforeningsmessig formål, så lenge behandlingen gjelder egne medlemmer. Helseformål: Nødvendig behandling for forebyggende medisin, medisinske diagnoser, helsetjenester eller behandling. Forskning: Behandling for arkivformål, vitenskapelig eller historisk forskning, eller statistikk, forutsatt at det finnes nødvendige sikkerhetstiltak. (citation:5)

Konsekvenser av feil håndtering

Fordi risikoen er så høy, stilles det ekstra krav til behandling av sensitive personopplysninger. Du må gjennomføre tekniske tiltak som kryptering, tilgangsstyring og logging, samt organisatoriske tiltak som interne rutiner og opplæring. Hvis noe går galt, kan det føre til overtredelsesgebyr på opptil 20 millioner euro eller 4 % av global omsetning. (citation:1)(citation:6)

Vanlige spørsmål og svar

Er bilde av en person alltid en sensitiv opplysning?

Nei. Et bilde er en personopplysning, men det blir først sensitivt hvis det behandles for å identifisere deg biometrisk (ansiktsgjenkjenning). (citation:4)

Hva er forskjellen på «samtykke» og «uttrykkelig samtykke»?

Uttrykkelig samtykke er en sterkere form for samtykke som kreves for sensitive data. Det betyr at personen må gi en aktiv, klar bekreftelse – for eksempel ved å skrive under på et eget skjema, ikke bare ved å la være å krysse av. (citation:6)

Kan en bedrift registrere at ansatte er syke?

Ja, men kun i den grad det er nødvendig for å administrere sykefravær, utbetale lønn eller oppfylle rapporteringsplikt. Du kan ikke føre detaljerte lister over diagnoser uten et eksplisitt unntak. (citation:9)

Sensitive vs. ikke-sensitive personopplysninger: en rask oversikt

Det er lett å blande sammen «private» opplysninger og «sensitive» opplysninger i lovens forstand. Her er de viktigste forskjellene.

Sensitive personopplysninger (særlige kategorier)

  • Artikkel 9.1 – uttømmende liste over kategorier som er forbudt å behandle.
  • Må oppfylle et unntak i artikkel 9.2 (f.eks. uttrykkelig samtykke) I tillegg til et vanlig behandlingsgrunnlag.
  • Helse, genetikk, biometri (for identifisering), etnisitet, politikk, religion, fagforening, seksuelle forhold.

Vanlige personopplysninger

  • Artikkel 4.1 – enhver opplysning om en identifisert eller identifiserbar person.
  • Må ha et behandlingsgrunnlag (f.eks. samtykke, kontrakt, berettiget interesse).
  • Navn, adresse, e-post, fødselsnummer, IP-adresse, lønn, kredittopplysninger.
Kort fortalt: Sensitive opplysninger handler om hvem du er i ditt innerste – helse, tro, legning. Vanlige personopplysninger kan være alt fra kontaktinfo til økonomi. Begge deler har et sterkt vern, men sensitive data har et høyere beskyttelsesnivå fordi konsekvensene av misbruk kan være mer alvorlige.

Hvordan en bedrift nesten gikk i fella med helsedata

Bedrift X, et mellomstort norsk konsulentselskap med 80 ansatte, ønsket å bli mer «inclusive». De sendte ut en frivillig spørreundersøkelse om mangfold, der de ba ansatte krysse av for etnisk bakgrunn, religiøs tro og seksuell legning.

HR-lederen tenkte at siden undersøkelsen var anonym, var det uproblematisk. Men dataene ble samlet inn i et regneark med navn (for å kunne følge opp enkeltpersoner), og lagret på en delt bedriftsserver uten kryptering.

En ansatt i IT oppdaget regnearket og påpekte at dette var i strid med GDPR. Bedriften innså at de behandlet særlige kategorier uten uttrykkelig samtykke, og uten de nødvendige sikkerhetstiltakene. De slettet alt umiddelbart.

Heldigvis unngikk de bøter, men lærdommen satt løst: Frivillig og velmenende er ikke det samme som lovlig. I etterkant innførte de rutiner for å alltid konsultere personvernrådgiver før lignende initiativ.

Ønsker du mer informasjon om regelverket? Se vår oversikt over hva defineres som sensitive personopplysninger for en dypere forklaring.

Det du også bør vite

Er fødselsnummer regnet som en sensitiv personopplysning?

Nei, fødselsnummer er ikke en «særlig kategori» i artikkel 9, men det er en personopplysning med et spesielt sterkt vern fordi det kan brukes til identifisering. Det krever et særskilt behandlingsgrunnlag og har egne regler i personopplysningsloven.

Hva skjer hvis jeg behandler sensitive personopplysninger uten å ha lov til det?

Det kan få alvorlige konsekvenser. Datatilsynet kan gi overtredelsesgebyr på opptil 20 millioner euro eller 4 % av den globale omsetningen. I tillegg risikerer du erstatningskrav fra de registrerte og omdømmetap.

Kan jeg samle inn sensitive personopplysninger hvis jeg bare spør pent?

Å «spørre pent» holder ikke. Du må innhente et uttrykkelig samtykke, noe som betyr at personen aktivt må bekrefte at de vil at du skal behandle opplysningene. Det holder ikke med et passivt samtykke eller forhåndsavkryssede bokser.

Gjelder de samme reglene for sensitive personopplysninger i alle EØS-land?

Ja, GDPR er en forordning som gjelder direkte i alle EØS-land, inkludert Norge. Definisjonen av særlige kategorier er den samme overalt, og reglene for unntak er harmonisert.

Det du tar med deg

Husk de ni kategoriene

Sensitive personopplysninger er: helse, genetikk, biometri (for identifisering), etnisitet, politikk, religion, filosofi, fagforening og seksuelle forhold.

Forbudt med mindre...

Hovedregelen er at behandling er forbudt. Du må alltid finne et gyldig unntak i artikkel 9.2, for eksempel uttrykkelig samtykke eller nødvendighet for helseformål.

Ikke forveksle med «private» data

Lønn, adresse og fødselsnummer er ikke sensitive i lovens forstand, men de er fortsatt personopplysninger med et sterkt vern.

Sikkerhet er ekstra viktig

Behandler du sensitive data, må du ha ekstra høye sikkerhetstiltak som kryptering og streng tilgangsstyring.

Mest likt
Mest sett
Nyeste spørsmål

Kommenter svaret:

Takk for tilbakemeldingen! Din kommentar hjelper oss å forbedre svarene i fremtiden.

Vennligst oppgi årsaken: