Navigasjon
GDPR > Artikkel 9. Behandling av særlige kategorier av personopplysninger
Last ned PDF

Artikkel 9 GDPR. Behandling av særlige kategorier av personopplysninger

Article 9 GDPR. Processing of special categories of personal data

1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

Retningslinjer og rettspraksis Fortalepunkter

51) Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt:

2. Paragraph 1 shall not apply if one of the following applies:

Fortalepunkter

52) Unntak fra forbudet mot å behandle særlige kategorier av personopplysninger bør også tillates når dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, og det omfattes av nødvendige garantier som sikrer vern av personopplysninger og andre grunnleggende rettigheter når dette er i allmennhetens interesse, særlig behandling av personopplysninger på området arbeidsrett, sosialrett, herunder pensjoner, og med henblikk på helsesikkerhet, -overvåking og -varsling, forebygging av eller kontroll med smittsomme sykdommer og andre alvorlige helsetrusler. Et slikt unntak kan gis for helseformål, herunder på området folkehelse og helsetjenesteforvaltning, særlig for å sikre kvalitet og kostnadseffektivitet i framgangsmåtene som brukes ved behandling av krav om ytelser og tjenester i sykeforsikringssystemet, eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Et unntak bør også tillate behandling av slike personopplysninger dersom dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

53) Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

54) Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008, nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

(11) Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex_europa_eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

55) Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

56) Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1.

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9(2)(a) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).


for å få tilgang til hele teksten

Relaterte tekster

b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser.

(b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

c) Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.

(c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

d) Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.

(d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

e) Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.

(e) processing relates to personal data which are manifestly made public by the data subject;

Ekspertkommentar

(EN) The European legislator introduced an exception – for special categories of personal data which are manifestly made public by a person – that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does “manifestly” mean? When are data “public”? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…


for å få tilgang til hele teksten

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Retningslinjer og rettspraksis

f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet.

(f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

g) Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

(g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3.

(h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Retningslinjer og rettspraksis

i) Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt.

(i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Retningslinjer og rettspraksis

j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

(j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

Ekspertkommentar
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Retningslinjer og rettspraksis Relaterte tekster

3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer, eller under en slik persons ansvar, eller av en annen person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

Ekspertkommentar ISO 27701 Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar
Ekspertkommentar

(EN) Some personal data, because of their sensitive nature, belong to special categories in the General Data Protection Regulation. Processing data mentioned in one of these eight (8) categories poses indeed “significant risks to the fundamental rights and freedoms” of an individual (recital 51). Risks vary depending on the type of data involved. Paragraph one of article 9 enumerates all types of data covered, but they are not readily intelligible. A visual list, broken down into eight points, helps to clarify the scope of the provision and what data are considered “special” by the European regulation:

  1. data disclosing racial or ethnic origin;
  2. data divulging political opinions;
  3. data revealing religious or philosophical beliefs;
  4. data about trade union membership;
  5. genetic data;
  6. biometric data used to identify a person;
  7. data concerning health; and
  8. data relating to a person’s sex life or sexual orientation.

The list must be considered exhaustive as exceptions must be interpreted strictly, so it means that no other exception can be admitted by the Court of Justice of the European Union or by Member States’ legislation. Personal data relating to criminal convictions and offences are not mentioned in this list because they fall under a different legal regime (article 10).

The “special categories of personal data” are treated distinctively mainly to protect individuals from discrimination (recital 71). Their processing might also lead to physical, material or non-material damage, including identity theft, fraud, harm to one’s reputation or breach of professional secrecy (recital 75).

Racial or ethnic origin related data include names, places of birth, native languages, and even extend to the names of an individual’s parents. They are considered sensitive because they may reveal a person’s origin or her/his ethnicity.

Political opinions can be inferred from activities revealing an individual’s political inclination, like membership in a political party, petitions s/he signed or events, meetings or protests s/he attempted. They include information reflecting ideas s/he supports as well as the ones s/he rejects or opposes to.

Data revealing an individual’s practice of a religion or interest in it – like attempting church, buying religious books, participating in religious-related events or demonstrations – may give a glue to a person’s religious affiliation or her/his absence of religious conviction. It is more difficult to determine what philosophical beliefs are. An example taken from an English case law indicates that it is essentially a genuinely held belief that concerns a substantial aspect of human life and behaviour and it is worthy of respect in a democratic society (Grainger Plc v. Nicholson).

The special protection granted to trade union membership information is based on the logic of fundamental rights in the labor environment. It protects individuals from discrimination at work, as a potential consequence of their union activities, and preserves their collective bargaining power among other rights.

Analysis of biological samples provides information about a person’s “inherited or acquired genetic characteristics” [recital 34 and article 4 (13)]. The resulting genetic data may give information about a person’s origin, ethnicity, physiology or health, as some health problems find their cause in abnormalities in the human genome.

Biometric data are information obtained from different measurements of a person’s “physical, physiological or behavioural characteristics” [article 4 (14)]. They serve to uniquely identify an individual, like fingerprints, iris patterns, facial attributes or voice modulation. A photograph is not always classified as biometric data, it is only considered so when its processing reveals characteristics allowing a person to be uniquely identified (recital 51).


for å få tilgang til hele teksten

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


for å få tilgang til hele teksten

Fortalepunkter

51) Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

52) Unntak fra forbudet mot å behandle særlige kategorier av personopplysninger bør også tillates når dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, og det omfattes av nødvendige garantier som sikrer vern av personopplysninger og andre grunnleggende rettigheter når dette er i allmennhetens interesse, særlig behandling av personopplysninger på området arbeidsrett, sosialrett, herunder pensjoner, og med henblikk på helsesikkerhet, -overvåking og -varsling, forebygging av eller kontroll med smittsomme sykdommer og andre alvorlige helsetrusler. Et slikt unntak kan gis for helseformål, herunder på området folkehelse og helsetjenesteforvaltning, særlig for å sikre kvalitet og kostnadseffektivitet i framgangsmåtene som brukes ved behandling av krav om ytelser og tjenester i sykeforsikringssystemet, eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Et unntak bør også tillate behandling av slike personopplysninger dersom dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

53) Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

54) Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008, nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

(11) Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex_europa_eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

55) Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

56) Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

Retningslinjer og rettspraksis Legg igjen en kommentar