Boka kurs

Kunskap: Vad avses med känsliga personuppgifter enligt GDPR?

Linkedin Facebook X-twitter Envelope

En korrekt kategorisering av personuppgifter är av central betydelse för att säkerställa regelefterlevnad av kraven i dataskyddsförordningen (GDPR). Mot bakgrund av riskerna gäller detta i synnerhet för särskilda kategorier av personuppgifter, som betecknas som känsliga personuppgifter i svensk lagstiftning. Detta aktualiserar frågan, vad avses med känsliga personuppgifter enligt GDPR?

Enligt artikel 9.1 GDPR omfattas följande uppgifter av begreppet känsliga personuppgifter:

  • Personuppgifter som avslöjar ras eller etniskt ursprung
  • Personuppgifter som avslöjar politiska åsikter
  • Personuppgifter som avslöjar religiös eller filosofisk övertygelse
  • Personuppgifter som avslöjar medlemskap i fackförening
  • Genetiska uppgifter
  • Biometriska uppgifter för att entydigt identifiera en fysisk person
  • Uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning

Vissa av begreppen som används i bestämmelsen förtydligas på andra ställen i GDPR. Detta gäller till exempel begreppet uppgifter om hälsa. Med detta avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.14 GDPR).

Därutöver utvecklas tolkningen av begreppet känsliga personuppgifter löpande av nationella domstolar och EU-domstolen, som är högsta tolkningsinstans för frågor rörande GDPR. Under de senaste åren har EU-domstolen meddelat flera avgöranden som förtydligar begreppet känsliga personuppgifter. EU-domstolen har till exempel konstaterat att såväl falska uppgifter om att någon erbjuder sexuella tjänster som uppgifter som kunder till ett nätapotek utgör känsliga personuppgifter.

Den kontinuerliga utvecklingen av begreppet känsliga personuppgifter genom rättspraxis innebär en utmaning för organisationer som vill säkerställa regelefterlevnad. Det är inte tillräckligt med en engångsbedömning av behandlade personuppgifters kategorier, till exempel i samband med upprättandet av ett register över behandling. För att säkerställa en korrekt bedömning över tid krävs en regelbunden översyn av de bedömningar som har gjorts mot bakgrund av EU-domstolens senaste rättspraxis.

TechLaw tillhandahåller ledande juridisk rådgivning inom dataskydd och integritet för privata företag och offentliga verksamheter. Vi bistår med klassificering av personuppgifter, översyn av register över behandling, riskbedömningar, åtgärder för regelefterlevnad och tillsynsärenden. Kontakta oss gärna för vidare rådgivning.

Mer information

Källa: Förordning (EU) 2016/679

Relaterade nyheter

Sverige: Regeringen uppdaterar handlingsplan för nationell cybersäkerhetsstrategi

Sverige: FI identifierar brister i kontinuitetsplanering och hantering av IKT-risker hos finansiella företag

Sverige: Regeringen föreslår lag om AI-baserad ansiktsigenkänning i realtid

Sverige: Sverige ska bygga motståndskraft i samhällsviktig verksamhet

Belgien: Infobel får 40 000 i sanktionsavgift för otillåten vidareförsäljning av personuppgifter

Spanien: Personuppgiftsansvarig får 300 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Spanien: Energibolag får 500 000 euro i sanktionsavgift för felaktig hantering av kunduppgifter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Fler nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.

Till webbinaret