Behandle særlige kategorier av personopplysninger (sensitive personopplysninger) - forbud og unntak.

I utgangspunktet er det forbudt å behandle visse kategorier av personopplysninger. Mange omtaler disse opplysningstypene som sensitive personopplysninger. 

Opplysningskategoriene dette gjelder er:

  1. opplysninger om rasemessig eller etnisk opprinnelse
  2. opplysninger om politisk oppfatning
  3. opplysninger om religion
  4. opplysninger om filosofisk overbevisning
  5. opplysninger om fagforeningsmedlemskap
  6. genetiske opplysninger
  7. biometriske opplysninger med det formål å entydig identifisere noen
  8. helseopplysninger
  9. opplysninger om seksuelle forhold
  10. opplysninger om seksuell legning
  11. opplysninger om straffedommer
  12. opplysninger om lovovertredelser

Mange unntak - og mange forbehold

Det finnes imidlertid mange unntak fra forbudet. Lovens system er at det må foreligge et særskilt grunnlag i tillegg til behandlingsgrunnlag for å behandle denne typen opplysninger.

I forordningen (artikkel 9 nr. 2 og 3) er det en oversikt over når opplysningene i punkt 1 til 10 likevel vil kunne behandles. Nedenfor følger en forenklet oppsummering av denne oversikten. Det er viktig å understreke at det er mange forbehold, så virksomheter må uansett sette seg inn i forordningsteksten før de eventuelt setter igang behandlingen av personopplysninger:

  • Den registrerte har gitt uttrykkelig samtykke.
  • Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle og utøve sine arbeidsrettslige, trygderettslige og sosialrettslige plikter og rettigheter i den grad behandlingen er tillatt etter lov eller tariffavtale.
  • Behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser hvis den registrerte ikke er i stand til å gi samtykke.
  • Behandlingen utføres av en stiftelse, sammenslutning eller ideelt organ som har mål av politisk, religiøs eller fagforeningsmessig art, så lenge det er snakk om personopplysninger om medlemmer og liknende, og opplysningene ikke utleveres uten samtykke.
  • Behandlingen gjelder opplysninger som den registrerte selv åpenbart har offentliggjort.
  • Behandlingen er nødvendig i forbindelse med rettskrav eller domstolene handler innenfor rammen av sin domsmyndighet.
  • Behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.
  • Behandlingen er nødvendig i forbindelse med forebyggende medisin, medisin i arbeidslivet, vurdering av en arbeidstakers arbeidskapasitet, medisinsk diagnostikk, ytelse av helse- eller sosialtjenester, sosialfaglig eller medisinsk behandling eller forvaltning av helse- eller sosialtjenester og -systemer. Dette gjelder imidlertid bare dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.
  • Behandlingen er nødvendig av allmenne folkehelsehensyn.
  • Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, så lenge det foreligger visse tiltak og behandlingen har hjemmel i lov.

Der forordningen sier at en behandling av personopplysninger krever hjemmel i lov, stiller den også visse krav til loven eller ting loven skal inneholde. Det vil si at en hvilken som helt lovhjemmel i seg selv ikke nødvendigvis er tilstrekkelig.

I tillegg sier personopplysningsloven §§ 6, 7 og 9 at sensitive personopplysninger kan behandles:

  • når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter
  • dersom Datatilsynet har gitt tillattelse til det og har fastsatt vilkår for å verne den registrertes grunnleggende rettigheter og interesser
  • dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Dette gjelder så lenge samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte. Det må også foreligge visse tiltak og man må ha rådført seg med personvernombudet.

Opplysningene i punkt 11 og 12 kan kun behandles:

  • under en offentlig myndighets kontroll. Dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, må imidlertid virksomheten først rådføre seg med personvernombudet.
  • med hjemmel i personopplysningsloven § 11
  • med hjemmel i annen norsk lov så lenge loven inneholder garantier for den registrertes rettigheter og friheter.

Omfattende registre over straffedommer kan uansett kun føres under en offentlig myndighets kontroll.

15