3.5 Behandling av känsliga personuppgifter

Känsliga personuppgifter enligt Dataskyddsförordningen är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Grundregeln är att behandling av sådana uppgifter är förbjuden, förutom i de fall den registrerade samtycker till behandlingen.

Det finns ett antal undantag från denna regel, där de som främst är användbara för utbildningsverksamheten är:

  • om det krävs för att uppfylla ett viktigt allmänt intresse,
  • om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk,
  • eller i de fall som anges i Dataskyddlagen 3 kap. 3 § (2018:218) med kompletterande bestämmelser till EU:s Dataskyddsförordning.

Dessa undantag är: Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet

  • i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
  • om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller
  • i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Konsekvensbedömning

Dataskyddsförordningen ställer krav på att en konsekvensbedömning skall göras om behandlingen bedöms sannolikt leda till en hög risk för personers rättigheter och friheter. Den som är ansvarig för den planerade behandlingen ska då göra en bedömning av behandlingens konsekvenser för skyddet av personuppgifter. Denna bedömning ska dokumenteras skriftligt och görs i samarbete med dataskyddsombudet. Om det är oklart om den planerade behandlingen ”sannolikt leder till en hög risk” bör dataskyddsombudet konsulteras.