Sensitive personopplysninger | Helse, miljø og sikkerhet - Ansatt

Særlige kategorier (sensitive personopplysninger)

Særlige kategorier (sensitive personopplysninger)

Hva som er særlige kategorier defineres i EUs personvernforordning.

Særlige kategorier

Særlige kategorier er opplysninger om:

  • rasemessig eller etnisk bakgrunn
  • politisk, filosofisk eller religiøse oppfatninger
  • helseforhold
  • seksuelle forhold eller orientering
  • medlemskap i fagforeninger
  • genetiske og biometriske opplysninger med det formål å identifisere en fysisk person

Særlige kategorier defineres i EUs personvernforordning (GDPR) artikkel 9 nr. 1.

Behandling av særlige kategorier er i utgangspunktet forbudt, men kan behandles dersom et av vilkårene i artikkel 9 nr. 2 er oppfylt.

Det foreligger også en rådføringsplikt med personvernombudet ved institusjonen eller Norsk senter for forskningsdata (NSD) før behandlingen starter, jf. personopplysningsloven §§ 9 og 10, dersom du skal behandle særlige kategorier i forbindelse med forskning eller uten samtykke i forbindelse med arkivering og statistikk. Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle særlige kategorier dersom det er nødvendig av hensyn til viktige allmenne interesser, jf. personopplysningsloven § 7.

I enkelte tilfeller skal det også gjøres en personvernkonsekvensvurdering (DPIA) i henhold til GDPR artikel 35. Se punkt om DPIA.

Det gjelder også begrensninger ved behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikringstiltak i artikkel 10. Disse opplysningene skal bare behandles  under offentlige myndigheters kontroll eller behandlingen er hjemlet i lov. Tillatelse til å behandle personopplysningene under offentlige myndigheters kontroll må følge av artikkel 6 nr. 1, mens tillatelsen som ikke utføres av en offentlig myndighets kontroll må følge av GDPR art. 9 nr. 2 a) og c) til f), jf. personopplysningsloven § 11. Her er det også rådføringsplikt til personvernombudet eller tilsvarende ved behandling i forskning med samtykke.

Personopplysninger som etter GDPR er definert som "særlige kategorier" (art. 9) og personopplysninger om straffedommer og lovovertredelser (art. 10), har normalt høy grad av sensitivitet og skal behandles etter strenge regler.

Også andre personopplysninger kan anses som sensitive, både fordi de er knyttet til sårbare grupper (eksempler er pasienter, barn, eldre med demens eller kognitiv svikt osv.) eller opplysningene omhandler personer i en sårbar situasjon (eksempler er personer mistenkt for fusk, uredelighet, er i en konfliktsak o.l). Det kan også være andre grunner som gjør at opplysningene bør klassifiseres som "beskyttelsesverdige" (eksempler er fødselsnummer, hemmelig adresse og passord).

Klassifisering vil være styrende for hvordan opplysningene kan behandles og hvilke tekniske løsninger som kan benyttes; dette i kombinasjon med grad av personidentifisering (antall personidentifiserende opplysninger som ligger i datamaterialet). Se nettside om klassifisering og Lagringsguide.

Det følger av sikkerhetsinstruks 2.9 at sensitive personopplysninger skal ikke sendes  ukryptert med e-post. Vurder alternativer. Se Om bruk av e-post ved OsloMet.

Fødselsnummer (11 siffer)

Fødselsnummer faller ikke inn under særlige kategorier i GDPR, men er en spesiell personopplysning som skal behandles med særlig varsomhet (jf. personopplysningsloven § 12). Se Datatilsynets nettside om fødselsnummer. Det er opprettet av det offentlige som en unik nøkkel for å skille enkeltpersoner fra hverandre. Det brukes blant annet til å koble opplysninger om enkeltpersoner. Det fungerer også ofte som et slags "passord" ved henvendelser til offentlige instanser, for å få tilgang til tjenester eller flere personopplysninger. Dette gjør at fødselsnummeret kan utnyttes blant annet i forbindelse med id-tyveri.

Fødselsnumre skal ikke registreres hvis det ikke er helt nødvendig og skal ikke sendes med e-post uten kryptering eller deles på internett.

Mer om temaet