Innhold

Sensitive opplysninger og behandlingsgrunnlag

signerer kontrakt

Det er strenge regler om beskyttelse av sensitive opplysninger. En bedrift som skal behandle slike opplysninger må derfor grundig sikre seg at riktig behandlingsgrunnlag er på plass.

Personvernforordningen selv har en del regler om behandlingsgrunnlag for sensitive opplysninger. Det kan dessuten komme presiseringer og skjerpede regler i de norske reglene, som kommer våren 2018.

En bedrift som skal behandle sensitive personopplysninger "i stort omfang", må først vurdere konsekvensene av dette for personvernet. Se Datatilsynets veileder om slike vurderinger.

Seks av de ti mulige behandlingsgrunnlagene for sensitive personopplysninger kan være aktuelle for bedrifter.

Bedrifter med sensitive opplysninger om privatkunder må vil samtykke være det mest aktuelle behandlingsgrunnlaget, se nr. 1 nedenfor. Overfor ansatte gjelder det et nødvendighetsvilkår, se nr. 2 nedenfor.

Følgende behandlingsgrunnlag gjelder for sensitive opplysninger:

  1. Den registrerte har gitt uttrykkelig samtykketil behandling av slike personopplysninger for ett eller flere spesifikke formål. Les mer om dette i vår artikkel om samtykke som behandlingsgrunnlag.
  2. Behandlingen er nødvendig for at bedriften eller den registrerte "skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett", herunder tariffavtaler. I korthet betyr dette at en arbeidsgiver kan behandle sensitive personopplysninger hvis det er nødvendig for å gjennomføre plikter og rettigheter man har som arbeidsgiver.
  3. Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort. Eksempel er kjente folkevalgte eller religiøse ledere eller en person som har bekreftet helseforhold i medieoppslag.
  4. Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet.
  5. Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål etter nærmere regler.
  6. Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet.

De fire øvrige behandlingsgrunnlagene vil omtrent aldri være aktuelle for bedrifter:

  • Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser
  • Behandlingen utføres av et ideelt organ av politisk, religiøs eller fagforeningsmessig art
  • Behandlingen er nødvendig av hensyn til viktige samfunnsinteresser
  • Behandlingen er nødvendig av allmenne folkehelsehensyn

De seks grunnkravene til behandling av personopplysninger gjelder for all behandling av personopplysninger, også når det er en rettslig forpliktelse som er behandlingsgrunnlag.