GDPR » Kapittel II Prinsipper (art. 5-11) » Artikkel 9. Behandling av særlige kategorier av personopplysninger

Artikkel 9. Behandling av særlige kategorier av personopplysninger

Sammendrag: Behandling av særlige kategorier personopplysninger er ikke tillatt uten at det foreligger et klart unntak fra forbundet. Særlige kategorier personopplysninger er bl.a. opplysninger om helse, seksuelle preferanser, religion, rase, politisk oppfatning, fagforeningsmedlemskap og biometriske opplysninger. Behandling kan allikevel skje ved bl.a. samtykke, innenfor spesielle områder som helse og trygd, eller ved religiøse eller politiske organisasjoner, eller fagforeninger, nødvendig vern av vitale interesser eller fastsette, gjøre gjeldende eller forsvare rettskrav, formål i allmennhetens interesse mv.

1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.

2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt:

a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1.

b) Behandlingen er nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser.

c) Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.

d) Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.

e) Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte har offentliggjort.

f) Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet.

g) Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3.

i) Behandlingen er nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt.

j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

3. Personopplysningene nevnt i nr. 1 kan behandles for formålene nevnt i nr. 2 bokstav h) dersom opplysningene behandles av en fagperson som har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer, eller under en slik persons ansvar, eller av en annen person som også har taushetsplikt i henhold til unionsretten eller medlemsstatenes nasjonale rett eller regler fastsatt av nasjonale vedkommende organer.

4. Medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.

Relevante fortalepunkter

Samtykke*

32. Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger, f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle. Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder.
*ikke offisiell overskrift

Genetiske opplysninger*

34. Genetiske opplysninger bør defineres som personopplysninger om en fysisk persons nedarvede eller ervervede genetiske egenskaper som foreligger etter analysering av en biologisk prøve fra nevnte fysiske person, særlig en kromosomanalyse eller en DNA- eller RNA-analyse, eller analysering av andre elementer som gjør det mulig å innhente tilsvarende opplysninger.
*ikke offisiell overskrift

Personopplysninger om helse*

35. Personopplysninger om helse bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Dette omfatter opplysninger om den fysiske personen innsamlet under registrering av vedkommende med henblikk på eller under yting av helsetjenester, som nevnt i europaparlaments- og rådsdirektiv 2011/24/EU, til den aktuelle fysiske personen; et tall, symbol eller kjennetegn som tildeles en fysisk person for på en entydig måte å identifisere vedkommende for helseformål; opplysninger som stammer fra tester eller undersøkelser av en kroppsdel eller en kroppssubstans, herunder fra genetiske opplysninger og biologiske prøver; og enhver opplysning om den registrerte med hensyn til f.eks. sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, klinisk behandling eller fysiologisk eller biomedisinsk tilstand uavhengig av hvor dette stammer fra, f.eks. fra en lege eller annet helsepersonell, et sykehus, medisinsk utstyr eller in vitro-diagnostikk.
*ikke offisiell overskrift

Behandling på grunnlag av samtykke*

42. Dersom behandlingen er basert på den registrertes samtykke, bør den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandlingen. Særlig i forbindelse med skriftlige erklæringer om andre forhold bør det foreligge garantier for å sikre at den registrerte er kjent med at samtykke er gitt, og omfanget av det. I samsvar med rådsdirektiv 93/13/EØF bør det foreligge en samtykkeerklæring som den behandlingsansvarlige på forhånd har utarbeidet i en forståelig og lett tilgjengelig form og formulert på et klart og enkelt språk, og som ikke bør inneholde urimelige vilkår. For å sikre at samtykket er informert bør den registrerte minst kjenne den behandlingsansvarliges identitet og formålene med behandlingen som personopplysningene skal brukes til. Samtykket skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.
*ikke offisiell overskrift

Behandling på grunnlag av vitale interesser*

46. Behandlingen av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse som er av avgjørende betydning for den registrertes eller en annen fysisk persons liv. Behandling av personopplysninger som er basert på en annen fysisk persons vitale interesser, bør i prinsippet bare finne sted dersom det er åpenbart at behandlingen ikke kan baseres på et annet rettslig grunnlag. Noen typer behandling kan tjene både viktige allmenne interesser og den registrertes vitale interesser, f.eks. når behandlingen er nødvendig av humanitære årsaker, herunder for å overvåke epidemier og spredning av dem, eller i humanitære nødssituasjoner, særlig i forbindelse med naturkatastrofer og menneskeskapte katastrofer.
*ikke offisiell overskrift

Formålet med behandling*

50. Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger. Dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes og angis nærmere hvilke oppgaver og formål viderebehandling bør anses som forenlig og lovlig for. Viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør anses som forenlige og lovlige behandlingsaktiviteter. Det rettslige grunnlaget for behandling av personopplysninger som er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, kan også utgjøre et rettslig grunnlag for viderebehandling. For å fastslå om formålet med viderebehandlingen er forenlig med formålet som personopplysningene opprinnelig ble samlet inn for, bør den behandlingsansvarlige, etter å ha oppfylt alle krav for å sikre at den opprinnelige behandlingen er lovlig, blant annet ta hensyn til enhver forbindelse mellom disse formålene og formålene med den tiltenkte viderebehandlingen, i hvilken sammenheng personopplysningene er blitt samlet inn, særlig de registrertes rimelige forventninger på grunnlag av forholdet de har til den behandlingsansvarlige med hensyn til viderebruk av opplysningene, personopplysningenes art, konsekvensene av den tiltenkte viderebehandlingen for de registrerte, og om både de opprinnelige behandlingsaktivitetene og de tiltenkte viderebehandlingsaktivitetene omfattes av nødvendige garantier.
   Når den registrerte har samtykket eller behandlingen er basert på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for særlig å verne viktige samfunnsmessige mål, bør den behandlingsansvarlige kunne viderebehandle personopplysningene uavhengig av om formålene er forenlige. I alle tilfeller bør det sikres at prinsippene fastsatt i denne forordning, og særlig informasjonen til de registrerte om nevnte andre formål og om vedkommendes rettigheter, herunder retten til å protestere, anvendes. Dersom den behandlingsansvarlige avdekker mulige straffbare handlinger eller trusler mot den offentlige sikkerhet og overfører relevante personopplysninger i enkeltstående eller flere tilfeller som gjelder samme straffbare handling eller trusler mot den offentlige sikkerhet, til en vedkommende myndighet, bør dette anses for å være i den behandlingsansvarliges berettigede interesse. En slik overføring i den behandlingsansvarliges berettigede interesse eller viderebehandling av personopplysninger bør være forbudt dersom behandlingen ikke er forenlig med en rettslig, yrkesmessig eller annen bindende taushetsplikt.
*ikke offisiell overskrift

Behandling av særlige kategorier/sensitive personopplysninger*

51. Personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Slike personopplysninger bør omfatte personopplysninger som avdekker rasemessig eller etnisk opprinnelse, idet bruken av begrepet «rasemessig opprinnelse» i denne forordning ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser. Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person. Slike personopplysninger bør ikke behandles, med mindre behandlingen er tillatt i særlige tilfeller fastsatt i denne forordning, idet det tas hensyn til at det i medlemsstatenes nasjonale rett kan fastsettes særlige bestemmelser om vern av personopplysninger med henblikk på å tilpasse anvendelsen av reglene i denne forordning for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. I tillegg til de særlige kravene til slik behandling bør de allmenne prinsippene og de andre reglene i denne forordning få anvendelse, særlig når det gjelder vilkårene for lovlig behandling. Unntak fra det allmenne forbudet mot å behandle nevnte særlige kategorier av personopplysninger bør fastsettes uttrykkelig, blant annet dersom den registrerte gir sitt uttrykkelige samtykke, eller for å oppfylle særlige behov, særlig når behandlingen utføres i forbindelse med visse sammenslutningers eller stiftelsers rettmessige virksomhet hvis formål er å gjøre det mulig å utøve grunnleggende friheter.
*ikke offisiell overskrift

Unntak fra forbundet for å behandle særlige kategorier personopplysninger*

52. Unntak fra forbudet mot å behandle særlige kategorier av personopplysninger bør også tillates når dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, og det omfattes av nødvendige garantier som sikrer vern av personopplysninger og andre grunnleggende rettigheter når dette er i allmennhetens interesse, særlig behandling av personopplysninger på området arbeidsrett, sosialrett, herunder pensjoner, og med henblikk på helsesikkerhet, -overvåking og -varsling, forebygging av eller kontroll med smittsomme sykdommer og andre alvorlige helsetrusler. Et slikt unntak kan gis for helseformål, herunder på området folkehelse og helsetjenesteforvaltning, særlig for å sikre kvalitet og kostnadseffektivitet i framgangsmåtene som brukes ved behandling av krav om ytelser og tjenester i sykeforsikringssystemet, eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Et unntak bør også tillate behandling av slike personopplysninger dersom dette er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, uansett om det skjer innenfor rammen av en rettergang eller en administrativ eller utenrettslig prosedyre.
*ikke offisiell overskrift

Behandling av særlige kategorier personopplysninger for helserelaterte formål*

53. Særlige kategorier av personopplysninger som fortjener et sterkere vern, bør bare behandles for helserelaterte formål når det er nødvendig for å oppfylle nevnte formål til fordel for fysiske personer og samfunnet som helhet, særlig i forbindelse med forvaltning av helse- eller sosialtjenester og -systemer, herunder forvaltningens og sentrale nasjonale helsemyndigheters behandling av slike opplysninger med henblikk på kvalitetskontroll, forvaltningsinformasjon og den allmenne nasjonale og lokale overvåking av helse- og sosialsystemet, og for å sikre kontinuitet innen helse- og sosialtjenester og helsetjenester over landegrensene eller i forbindelse med helsesikkerhet, -overvåking og -varsling eller for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som må oppfylle et mål i allmennhetens interesse, samt for studier på området folkehelse som utføres i allmennhetens interesse. Ved denne forordning bør det derfor fastsettes harmoniserte vilkår for behandling av særlige kategorier av personopplysninger om helse for å oppfylle særlige behov, især når behandlingen av nevnte opplysninger utføres for visse helserelaterte formål av personer som er underlagt lovfestet taushetsplikt. I unionsretten eller medlemsstatenes nasjonale rett bør det fastsettes særlige og egnede tiltak for vern av fysiske personers grunnleggende rettigheter og personopplysninger. Medlemsstatene bør kunne opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger. Dette bør imidlertid ikke hindre den frie flyten av personopplysninger i Unionen når nevnte vilkår får anvendelse på grenseoverskridende behandling av nevnte opplysninger.
*ikke offisiell overskrift

Behandling av særlige kategorier personopplysninger for allmenne folkehelsehensyn*

54. Allmenne folkehelsehensyn gjør at det kan være nødvendig å behandle særlige kategorier av personopplysninger uten den registrertes samtykke. En slik behandling bør være underlagt egnede og særlige tiltak som sikrer vern av fysiske personers rettigheter og friheter. I denne forbindelse bør «folkehelse» tolkes i henhold til europaparlaments- og rådsforordning (EF) nr. 1338/2008, nærmere bestemt alle faktorer knyttet til helse, nærmere bestemt helsestatus, herunder sykelighet og funksjonshemning, faktorer som har innvirkning på denne helsestatusen, behov for helsetjenester, ressurser avsatt til helsetjenester, yting av og allmenn tilgang til helsetjenester, utgifter til og finansiering av helsetjenester samt dødsårsaker. En slik behandling av helseopplysninger i allmennhetens interesse bør ikke føre til at personopplysninger behandles for andre formål av tredjeparter, f.eks. arbeidsgivere, forsikringsselskaper eller banker.
*ikke offisiell overskrift

Offentlig myndigheters behandling av personopplysninger om religiøse sammenslutninger*

55. Offentlige myndigheters behandling av personopplysninger med henblikk på å nå målene til offisielt anerkjente religiøse sammenslutninger som er fastsatt ved forfatningsretten eller ved folkeretten, utføres også i allmennhetens interesse.
*ikke offisiell overskrift

Politiske partiers behandling av personopplysninger*

56. Dersom det i forbindelse med valgaktiviteter i en medlemsstat, for å sikre at det demokratiske systemet fungerer, kreves at politiske partier samler inn personopplysninger om fysiske personers politiske oppfatninger, kan behandling av slike opplysninger være tillatt av hensyn til allmennhetens interesse, forutsatt at det foreligger nødvendige garantier.
*ikke offisiell overskrift

Unntak fra informasjonsplikt*

62. Det er imidlertid ikke nødvendig å pålegge en plikt til å informere dersom den registrerte allerede har informasjonen, dersom registrering eller utlevering av personopplysninger er uttrykkelig fastsatt ved lov, eller dersom det viser seg å være umulig eller vil kreve en uforholdsmessig stor innsats å informere den registrerte. Det sistnevnte kan særlig være tilfellet dersom behandlingen utføres for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. I denne forbindelse bør det tas hensyn til antall registrerte, hvor gamle opplysningene er, og eventuelle garantier som er vedtatt.
*ikke offisiell overskrift

Rett til sletting*

65. En registrert bør ha rett til å få rettet sine personopplysninger samt ha «rett til å bli glemt» dersom lagring av nevnte opplysninger er i strid med denne forordning, unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt. En registrert bør særlig ha rett til å få sine personopplysninger slettet og ikke lenger behandlet dersom personopplysningene ikke lenger er nødvendige for de formål de er blitt samlet inn eller behandlet for, dersom en registrert har trukket tilbake sitt samtykke eller motsetter seg behandling av vedkommendes personopplysninger, eller dersom behandlingen av vedkommendes personopplysninger på annen måte ikke er i samsvar med denne forordning. Denne retten er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på internett. Den registrerte bør kunne utøve denne retten selv om vedkommende ikke lenger er et barn. Ytterligere lagring av personopplysninger bør imidlertid være lovlig dersom det er nødvendig for å utøve retten til ytrings- og informasjonsfrihet, for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, av allmenne folkehelsehensyn, for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, for statistiske formål eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
*ikke offisiell overskrift

Risiko ved behandling av personopplysninger*

75. Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.
*ikke offisiell overskrift

Personvernbrudd og varsling*

85. Et brudd på personopplysningssikkerheten kan, dersom det ikke håndteres på egnet måte og i rett tid, påføre fysiske personer fysisk, materiell eller ikke-materiell skade, f.eks. tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold.
*ikke offisiell overskrift

Håndtering av saker for ikke-ledende tilsynsmyndighet*

127. Hver tilsynsmyndighet som ikke fungerer som ledende tilsynsmyndighet, bør ha kompetanse til å håndtere lokale saker dersom den behandlingsansvarlige eller databehandleren er etablert i flere enn én medlemsstat, men gjenstanden for den spesifikke behandlingen bare gjelder behandling utført i én medlemsstat, og bare omfatter registrerte i nevnte ene medlemsstat, f.eks. dersom det gjelder behandling av arbeidstakeres personopplysninger i forbindelse med spesifikke ansettelsesforhold i en medlemsstat. I slike tilfeller bør tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Etter å ha blitt underrettet bør den ledende tilsynsmyndigheten beslutte om den skal behandle saken i henhold til bestemmelsen om samarbeid mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter («ettstedsmekanismen»), eller om tilsynsmyndigheten som underrettet den, bør behandle saken på lokalt plan. Når den ledende tilsynsmyndigheten skal beslutte om den skal behandle saken, bør den ta hensyn til om den behandlingsansvarlige eller databehandleren har en virksomhet i medlemsstaten til tilsynsmyndigheten som underrettet den, for å sikre en effektiv gjennomføring av en avgjørelse overfor den behandlingsansvarlige eller databehandleren. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, bør tilsynsmyndigheten som underrettet den, ha mulighet til å legge fram et forslag til avgjørelse som den ledende tilsynsmyndigheten bør ta størst mulig hensyn til ved utarbeiding av sitt utkast til avgjørelse i nevnte ettstedsmekanisme.
*ikke offisiell overskrift

Særlige regler om arbeidstakeres personopplysninger i nasjonal rett eller tariffavtaler*

155. I medlemsstatenes nasjonale rett eller tariffavtaler, herunder «arbeidsavtaler», kan det fastsettes særlige regler om behandling av arbeidstakernes personopplysninger i ansettelsesforhold, særlig når det gjelder vilkårene for behandling av personopplysninger i ansettelsesforhold på grunnlag av et samtykke fra den ansatte, formålet med ansettelsen, gjennomføring av ansettelsesavtalen, herunder overholdelse av pliktene fastsatt ved lov eller i tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold samt helse og sikkerhet på arbeidsplassen, individuell eller kollektiv utøvelse og rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen samt for å avslutte ansettelsesforholdet.
*ikke offisiell overskrift

Krav til behandling for formål knyttet til arkiv, vitenskapelig/historisk forskning eller statistikk*

156. Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.
*ikke offisiell overskrift

Behandling av personopplysninger til arkivformål*

158. Dersom personopplysninger behandles for arkivformål, bør denne forordning også få anvendelse på slik behandling, men ikke på avdøde personer. Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av allmenn interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. Medlemsstatene bør også ha rett til å fastsette at personopplysninger kan viderebehandles for arkivformål, f.eks. for å framlegge spesifikk informasjon om politisk atferd under tidligere totalitære regimer, folkemord, forbrytelser mot menneskeheten, særlig holocaust, eller krigsforbrytelser.
*ikke offisiell overskrift

Tilsynsmyndighets taushetsplikt*

164. Når det gjelder tilsynsmyndighetenes myndighet til å få tilgang til personopplysninger fra den behandlingsansvarlige eller databehandleren og adgang til deres lokaler, kan medlemsstatene innenfor rammene av denne forordning ved lov vedta særlige regler for å sikre yrkesmessig eller annen tilsvarende taushetsplikt, i den grad det er nødvendig for å bringe retten til vern av personopplysning i samsvar med yrkesmessig taushetsplikt. Dette berører ikke medlemsstatenes eksisterende forpliktelser til å vedta regler om taushetsplikt dersom det kreves i unionsretten.
*ikke offisiell overskrift

Engelsk tekst

Article 9. Processing of special categories of personal data

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. Paragraph 1 shall not apply if one of the following applies:

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

(b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

(c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

(d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

(e) processing relates to personal data which are manifestly made public by the data subject;

(f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

(g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

(h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

(i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

(j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

< Artikkel 8 | Artikkel 10 >