Det finns tillfällen när företag får behandla känsliga personuppgifter. Däremot är det enligt huvudregeln förbjudet att behandla känsliga personuppgifter enligt GDPR. Om en registrerad uttryckligen lämnar sitt samtycke till att de känsliga personuppgifterna blir behandlade för ett specifikt ändamål, är det tillåtet att behandla sådana uppgifter. När det gäller icke känsliga personuppgifter, framgår inte samma krav på att samtycket ska vara just ”uttryckligt”. Det är därmed högre krav när samtycket gäller känsliga personuppgifter, till skillnad från vanliga personuppgifter, såsom namn och telefonnummer.
När företag får behandla känsliga personuppgifter
I GDPR framgår det att den registrerade måste lämna sitt uttryckliga samtycke vid behandling av känsliga personuppgifter. Dessutom finns det flera undantag från huvudregeln som anger att det är förbjudet att behandla känsliga personuppgifter.
I vissa fall kan det exempelvis framgå i en nationell lagstiftning att ett företag får behandla känsliga personuppgifter. Inom arbetsrätten finns ett sådant undantag och detsamma gäller inom hälso- och sjukvården. Exempelvis måst en arbetsgivare behandla information om sjukfrånvaro, för att tillvarata sina rättsliga skyldigheter i egenskap av arbetsgivare. Uppgifter om sjukfrånvaro är känsliga personuppgifter enligt GDPR, eftersom det avser uppgifter om hälsa.
När ett företag behandlar personuppgifter som enligt GDPR är känsliga, måste det ske med högre säkerhet än vid behandling av vanliga personuppgifter. Detsamma gäller vid behandling av integritetskänsliga personuppgifter, som är exempelvis kreditkortsnummer och personnummer. Exempel på känsliga personuppgifter enligt GDPR är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening (Artikel 9 GDPR).