Hopp til innhold

Meny

7. Definisjoner og begreper: Hva er særlige kategorier av personopplysninger (tidl. «sensitive personopplysninger»)?

Personvernreglene gjelder også det som tidligere var kjent som sensitive personopplysninger, men som nå kalles «særlige kategorier av personopplysninger». Dette er personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering» (artikkel 9 ref.). Forordningen skiller seg fra gjeldende lov på to punkter: For det første omfattes ikke opplysninger om at en person har vært mistenkt, tiltalt eller dømt for en straffbar handling. Slike opplysninger er i stedet særregulert (artikkel 10, se nedenfor). For det andre er det lagt til to nye kategorier av opplysninger: genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person.

Som forsker er det maktpåliggende å være bevisst at det kan være utfordrende å definere med sikkerhet hvilke kategorier av data som utgjør særlige kategorier av personopplysninger, og at opplysninger som i utgangspunktet ikke er sensitive kan avsløre sensitiv informasjon ved kobling til nye datasett eller ved hjelp av nye analyseteknikker (se under «personopplysninger»).

Hovedregelen er at det ikke er lov å behandle særlige kategorier av personopplysninger med mindre ett av unntakene i artikkel 9 er oppfylt. Noen av unntakene (bokstavene g, h, i og j – der j er mest aktuell for forskning) stiller også krav om at behandlingen er tillatt etter nasjonal rett. I tillegg må forskerne ha behandlingsgrunnlag etter artikkel 6. Flere av unntakene i artikkel 9 kan være relevante på ulike forskningsområder, men de mest aktuelle er antakeligvis:

  • Opplysningene behandles på grunnlag av samtykke fra den registrerte (bokstav a)
  • Opplysningene som behandles er åpenbart offentliggjort av den registrerte (bokstav e)
  • Opplysningene er nødvendige å behandle for arkiv-, statistikk og forskningsformål, forutsatt at personverninteressene er ivaretatt slik det fremgår av forordningen (bokstav j).

Personopplysningsloven § 9 gir grunnlag for behandling etter norsk rett, og setter som vilkår at samfunnsinteressen av forskningsprosjektet klart overstiger personvernulempene og at den behandlingsansvarlige rådfører seg med personvernombudet eller liknende. I tillegg må garantier og sikkerhetstiltak være iverksatt etter GDPR artikkel 89.

Helseopplysninger er en av kategoriene av «særlige opplysninger». Det betyr at behandling av helseopplysninger krever grunnlag i minst ett av alternativene i artikkel 6 og minst ett av unntakene i artikkel 9 nr. 2. Helselovene (dvs. helseforskningsloven, helseregisterloven, helsepersonelloven inkl. dispensasjon fra taushetsplikt gitt av Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) etter § 29 osv.) gir supplerende rettsgrunnlag etter nasjonal rett. Forskere som behandler særlige kategorier av personopplysninger etter helselovene trenger ikke forholde seg til kravene i personopplysningsloven § 9, men må følge kravene i loven som gir supplerende rettsgrunnlag.

Forskere må ha klart for seg hvilket behandlingsgrunnlag og unntak de bruker av hensyn til videre saksbehandling, for eksempel rådføringsplikt med personvernombudet, forhåndsgodkjenning eller dispensasjon fra REK osv.

Takk for at du hjelper oss å lage en bedre tjeneste.

Skriv din tilbakemelding i skjemaet nedenfor.