Känsliga personuppgifter – i GDPR kallade särskilda kategorier av personuppgifter – omfattas av ett principiellt behandlingsförbud enligt artikel 9 i dataskyddsförordningen. Du får bara behandla dem om ett av de tio undantagen i artikel 9.2 är uppfyllt, utöver att du har en rättslig grund enligt artikel 6. Den här guiden förklarar vad som räknas som känsliga uppgifter, hur förbudet och undantagen fungerar och de svenska särreglerna om hälsodata och personnummer.
Viktigaste punkterna
- Artikel 9 förbjuder behandling av särskilda kategorier av uppgifter om inte ett av tio undantag är uppfyllt.
- Känsliga uppgifter kräver dubbelt stöd: en grund enligt art. 6 och ett undantag enligt art. 9.2.
- Personnummer är inte en känslig uppgift i art. 9-mening, men skyddas särskilt i Dataskyddslagen 3 kap. 10 §.
- Vårdgivare som behandlar hälsouppgifter i stor omfattning måste utse ett dataskyddsombud.
Vad räknas som känsliga personuppgifter?
Artikel 9.1 räknar uttömmande upp vilka uppgifter som är särskilda kategorier:
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i fackförening
- Genetiska uppgifter
- Biometriska uppgifter för att entydigt identifiera en person
- Hälsouppgifter
- Uppgifter om en persons sexualliv eller sexuella läggning
Listan är uttömmande – andra uppgifter, hur privata de än känns, är inte känsliga i artikel 9-mening. En viktig nyans: en uppgift kan bli känslig genom slutsats. En bild som avslöjar hudfärg eller religiös klädsel, eller ett register över matpreferenser som avslöjar religion, kan utgöra behandling av känsliga uppgifter även om det inte var avsikten.
Behandlingsförbudet och de tio undantagen
Utgångspunkten i artikel 9.1 är att behandling är förbjuden. Artikel 9.2 anger tio undantag, varav de praktiskt viktigaste är:
- Uttryckligt samtycke från den registrerade.
- Behandling nödvändig för arbetsrättsliga skyldigheter och socialt skydd.
- Skydd av någons grundläggande intressen när personen inte kan lämna samtycke.
- Behandling av ideella organisationer om sina medlemmar.
- Uppgifter som den registrerade själv offentliggjort.
- Behandling nödvändig för rättsliga anspråk – den grund advokatbyråer typiskt vilar på.
- Viktigt allmänt intresse med stöd i lag.
- Hälso- och sjukvård samt förvaltning av vårdtjänster.
- Folkhälsa.
- Arkiv-, forsknings- och statistikändamål.
Observera att undantaget inte ersätter kravet på en rättslig grund enligt artikel 6 – du behöver båda. Ett sjukhus som behandlar patientdata har både en grund enligt artikel 6.1 e (allmänt intresse) och ett undantag enligt artikel 9.2 h (hälso- och sjukvård).
Två av undantagen vållar särskilt ofta feltolkningar. Det första är uttryckligt samtycke (art. 9.2 a): kravet på att samtycket ska vara uttryckligt är strängare än för vanliga uppgifter – det räcker inte med en generell kryssruta, utan personen ska aktivt och tydligt bekräfta just behandlingen av de känsliga uppgifterna. Det andra är undantaget för uppgifter som den registrerade själv har offentliggjort (art. 9.2 e). Att någon nämnt sin sjukdom i ett offentligt inlägg betyder inte att vem som helst fritt får bygga register på uppgiften – undantaget tolkas snävt och kräver att offentliggörandet var otvetydigt och gjort av personen själv. Europeiska dataskyddsstyrelsen har i flera riktlinjer betonat att undantagen i artikel 9.2 ska tillämpas restriktivt, eftersom de utgör undantag från ett förbud.
Den svenska kompletteringen: Dataskyddslagen 3 kap.
Dataskyddslagen 3 kap. innehåller flera svenska särregler för känsliga uppgifter:
- Arbetsrätt. Känsliga uppgifter får behandlas om det är nödvändigt för att fullgöra skyldigheter inom arbetsrätten, men får då som huvudregel inte lämnas ut om det är förbjudet enligt lag eller kollektivavtal.
- Hälso- och sjukvård. Uppgifter får behandlas för hälso- och sjukvårdsändamål av den som är underkastad tystnadsplikt.
- Behandling för arkiv, forskning och statistik tillåts under särskilda villkor.
För en fördjupning i vårdsektorns särskilda krav, se guiden om GDPR i hälso- och sjukvården, där patientdatalagen och journalföring behandlas.
Personnummer: känsligt men inte artikel 9
En vanlig missuppfattning är att personnummer är en känslig uppgift. Det stämmer inte – personnummer är inte en särskild kategori enligt artikel 9. Men det skyddas särskilt i Dataskyddslagen 3 kap. 10 §, som anger att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet, vikten av säker identifiering eller något annat beaktansvärt skäl. Det innebär i praktiken att du inte får samla in personnummer slentrianmässigt. Att kräva personnummer på ett nyhetsbrevsformulär är sällan klart motiverat; att kräva det för en kreditansökan är det.
MedHelp och 1177: 12 miljoner för exponerade hälsouppgifter
Det tydligaste svenska exemplet på riskerna med känsliga uppgifter är IMY:s beslut mot vårdföretaget MedHelp 2021, med en sanktionsavgift på 12 miljoner kronor. Bakgrunden var 1177-skandalen: inspelade samtal till vårdrådgivningen 1177 – som innehöll känsliga hälsouppgifter – hade lagrats på en oskyddad server och var åtkomliga via internet. IMY bedömde att MedHelp som personuppgiftsansvarig brustit i säkerheten kring behandlingen av känsliga uppgifter. Fallet visar att kraven på skyddsåtgärder skärps dramatiskt när uppgifterna är känsliga – en säkerhetsnivå som duger för ett kundregister duger inte för hälsodata.
Praktiska krav vid behandling av känsliga uppgifter
När du behandlar känsliga uppgifter höjs ribban på flera sätt:
- Konsekvensbedömning är ofta obligatorisk vid storskalig behandling (art. 35.3 b).
- Skärpta säkerhetsåtgärder enligt artikel 32 – kryptering, strikt behörighetsstyrning, loggning.
- Dokumentation av både artikel 6-grunden och artikel 9-undantaget i registerförteckningen.
- Reglering av leverantörers åtkomst i personuppgiftsbiträdesavtal.
Att hålla reda på var känsliga uppgifter finns, vilket undantag som gäller och vilka skyddsåtgärder som är på plats är svårt manuellt. En plattform som Legiscope märker upp behandlingar som innehåller känsliga uppgifter och kopplar dem till rätt undantag och riskbedömning.
Vanliga frågor
Är personnummer en känslig personuppgift?
Nej. Personnummer är inte en särskild kategori enligt artikel 9. Det skyddas dock särskilt i Dataskyddslagen 3 kap. 10 §, som kräver att behandlingen är klart motiverad med hänsyn till ändamålet eller behovet av säker identifiering. Du får alltså inte samla in personnummer rutinmässigt utan skäl.
Behöver vi både en rättslig grund och ett undantag för känsliga uppgifter?
Ja. Känsliga uppgifter kräver dubbelt stöd: en rättslig grund enligt artikel 6 och dessutom ett av de tio undantagen från behandlingsförbudet i artikel 9.2. Saknas något av dem är behandlingen olaglig.
Räknas en bild på en person som känslig personuppgift?
Inte automatiskt. En vanlig bild är en personuppgift men inte känslig. Bilden blir dock en särskild kategori om den behandlas i syfte att avslöja exempelvis etniskt ursprung eller hälsa, eller om den behandlas biometriskt för att entydigt identifiera personen.
Vilka säkerhetsåtgärder krävs för känsliga uppgifter?
Artikel 32 kräver en säkerhetsnivå som är lämplig i förhållande till risken. Eftersom känsliga uppgifter medför högre risk krävs starkare åtgärder – typiskt kryptering, strikt behörighetsstyrning och loggning av åtkomst. MedHelp-fallet visar att bristande säkerhet kring känsliga uppgifter kan bli mycket kostsamt.
Slutsats
Känsliga personuppgifter är GDPR:s högriskkategori: behandling är förbjuden om inte ett av tio undantag är uppfyllt, och alltid utöver en vanlig rättslig grund. Personnummer är inte känsligt i artikel 9-mening men skyddas ändå särskilt i svensk rätt. MedHelp-fallet visar konsekvensen av att missa säkerheten. Vet du vilka känsliga uppgifter du behandlar, vilket undantag som gäller och att skyddet är i nivå med risken, står behandlingen på fast grund. Den vanligaste orsaken till problem är inte att organisationer medvetet behandlar känsliga uppgifter olagligt, utan att de inte inser att uppgifterna är känsliga från början – en matlista som avslöjar religion, en frånvaroorsak som avslöjar hälsa, ett foto som avslöjar etnicitet. Börja därför med att kartlägga var känsliga uppgifter faktiskt uppstår i verksamheten; det är förutsättningen för att alls kunna tillämpa artikel 9 rätt.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial