Hur ska jag tänka vid behandling av känsliga personuppgifter enligt GDPR?
Ditt företag måste följa de vanliga principerna för behandling av personuppgifter även när det gäller behandling av känsliga personuppgifter.
Principen om laglig behandling
Ditt företag måste precis som vid behandling av vanliga personuppgifter ha ett skäl (ändamål) med behandlingen och får inte använda uppgifter utöver det ändamål som är informerat om. Inför samtycket ska ni ha lämnat information om behandlingen så ni klarar principen om öppenhet. En av rättsliga grunderna för laglig behandling är samtycke, ni följer då principen om laglig behandling. Tänk också på att uppgifterna ska behandlas korrekt d.v.s. med respekt för den registrerade.
Uppgiftsminimering, lagringsmnimering m.m.
Ditt företag får inte registrera mer uppgifter än nödvändigt (uppgiftsminimering). Uppgifterna ska också vara uppdaterade och korrekta. Uppgifterna får inte lagras längre än nödvändigt (lagringsminimering). Dessutom måste företaget tänka på att uppgifterna inte ska röjas för obehöriga (konfidentialitet) och inte heller kunna försvinna eller förvanskas (integritet).
Lämplig säkerhetsnivå
All er hantering av uppgifterna ska ske med en lämplig säkerhetsnivå. Det gör att ditt företag måste vara extra nog med behörigheter m.m. när det gäller hantering av känsliga personuppgifter. Vad som är en lämpligt säkerhetsnivå får avgöras i det enskilda fallet i förhållande till risken. Men ditt företag ska kontrollera och testa säkerheten. Detta så att personuppgifterna inte röjs eller ändras oavsiktligt eller av obehöriga. Det innebär att om det är känsliga uppgifter för den registrerade kan det krävas extra hög säkerhet.
Vad händer om den registrerade inte kan lämna sitt samtycke eller återkallar sitt samtycke?
Om den registrerade inte kan lämna ett giltigt samtycke eller återkallar sitt samtycke till behandling av de särskilda kategorierna av personuppgifter enligt GDPR krävs att ditt företags behandling av personuppgifterna omfattas av något av undantagen för behandling av känsliga personuppgifter. I annat fall måste ditt företag avstå att behandla uppgifterna och radera de uppgifterna som omfattas av reglerna om särskilda kategorier.
