Känsliga personuppgifter: vad gäller enligt GDPR?

När får företag samla in, använda och spara känsliga personuppgifter?

Känsliga personuppgifter låter som något som bara exempelvis sjukvården hanterar. Men i praktiken dyker de ofta upp i helt vanliga sammanhang som t ex sjukfrånvaro i HR, en kund som berättar för mycket i supporten, eller ett formulär med ett fritextfält där folk skriver mer än ni hade planerat.

I den här guiden går vi igenom:

  • vad som räknas som känsliga personuppgifter
  • när ett företag får använda och spara dem (och när ni inte får)
  • vad ni behöver göra i praktiken för att hanteringen ska vara laglig

Målet är enkelt: ni ska kunna göra rätt utan att samla in mer än nödvändigt.

Letar du ett speciellt avsnitt?
Här finns det snabblänkar till de olika avsnitten i artikeln

Vad räknas som känsliga personuppgifter?

Känsliga personuppgifter är uppgifter som säger något om en person som kan vara extra integritetskänsligt, därför har GDPR ett extra starkt skydd. De kallas också ”särskilda kategorier av personuppgifter” och listas i GDPR artikel 9.

Det är uppgifter som avslöjar:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • fackföreningsmedlemskap
  • genetiska uppgifter
  • biometriska uppgifter (om de används för att identifiera någon, t.ex. fingeravtryck/ansiktsigenkänning)
  • hälsa
  • sexualliv eller sexuell läggning

Viktigt: “hälsa” kan vara mer än vad man kan tro för det handlar inte bara om patienters journaler. Hälsouppgifter kan också vara:

  • uppgifter om sjukskrivning/rehab
  • anteckningar om diagnoser eller medicinering
  • information som indirekt säger något om hälsa (t.ex. “har diabetes” i ett fritextfält)

Inte artikel 9 – men ofta extra känsligt ändå

Det finns två närliggande typer som ofta blandas ihop med “känsliga uppgifter”:

  • Uppgifter om lagöverträdelser och brott (GDPR art. 10) – de har särskilda regler. 
  • Personnummer – är inte en “känslig uppgift” i artikel 9, men i Sverige finns särskilda krav på när och hur personnummer får användas.

När är det tillåtet att behandla känsliga personuppgifter?

Grundregeln i GDPR är enkel: känsliga personuppgifter är i princip förbjudna att behandla. För att det ändå ska vara lagligt behöver ni uppfylla två krav samtidigt. 

Två nycklar måste passa samtidigt

Tänk så här: ni behöver en nyckel för “personuppgifter” och en nyckel för “känsliga personuppgifter”.

  1. Rättslig grund (GDPR artikel 6)
    Varför får ni behandla personuppgifter överhuvudtaget?
    Exempel kan vara avtal, rättslig förpliktelse eller berättigat intresse.
  2. Undantag från förbudet (GDPR artikel 9.2)
    Varför får ni behandla just känsliga uppgifter?
    Här listar GDPR särskilda undantag – utan ett sånt undantag är det inte tillåtet, även om ni har en grund enligt artikel 6.

Vanliga undantag som företag brukar luta sig mot artikel 9.2

Uttryckligt samtycke

Ni kan behandla känsliga uppgifter om personen har gett ett uttryckligt samtycke.
Men i praktiken är samtycke ofta svårt att använda i t.ex. arbetslivet, eftersom det måste vara frivilligt och lätt att ta tillbaka. 

Arbetsrätt och socialt skydd (t.ex. HR)

Det kan vara tillåtet när behandlingen behövs för skyldigheter eller rättigheter inom arbetsrätt/socialt skydd, t.ex. sjukfrånvaro, rehab och liknande – ofta med krav på att det finns stöd i lag/kollektivavtal och att ni begränsar åtkomst. 

Rättsliga anspråk

Om uppgifterna behövs för att fastställa, göra gällande eller försvara rättsliga anspråk (t.ex. en tvist eller ett ärende) kan det vara ett undantag. 

Hälso- och sjukvård / företagshälsa

För vissa situationer kopplade till vård och hälsa kan det vara tillåtet, särskilt när uppgifter hanteras under krav på tystnadsplikt och professionella regler.

Kort sagt:

Om ni inte kan peka på både:

  • en rättslig grund (art. 6) och
  • ett undantag (art. 9.2)

…då ska ni utgå från att behandlingen av personuppgifterna inte är tillåten.

Vad betyder det här i praktiken?

Här är några vanliga situationer där känsliga uppgifter dyker upp i företag – och vad ni behöver tänka på för att det ska bli lagligt i praktiken. Grundidén i alla scenarion är att minimera, begränsa åtkomst, sätt gallring och dokumentera era val.

HR: Sjukfrånvaro och rehabilitering

När det händer: ni hanterar sjukskrivning, läkarintyg, rehabplan, anpassningar.

Gör så här:

  • Spara minsta möjliga. Ofta behöver ni inte diagnos – det kan räcka med “sjukfrånvaro” och underlag för det som måste göras. 
  • Begränsa vem som ser vad. HR/chef behöver sällan samma detaljer. “Need-to-know” är nyckeln. 
  • Sätt rutin för gallring direkt. När ändamålet är uppfyllt ska uppgifterna bort – inte bli kvar “för säkerhets skull”.

Kundtjänst: Kunden berättar om hälsa eller privatliv

När det händer: en kund skriver “Jag har X sjukdom…” i ett mejl eller chatt för att förklara ett problem.

Gör så här:

  • Skriv inte in mer än ni behöver i ärendesystemet. Om ni kan lösa ärendet utan diagnosen: notera problemet, inte detaljerna. 
  • Styr svarsmallar. Be om relevant info (“order-id”, “felbeskrivning”), inte fritext om privat situation.
  • Se över behörigheter i supportverktyg. Om många medarbetare kan se allt, så behöver ni snäva åt.

Formulär på webben: Fritextfältet som “samlar in för mycket”

När det händer: ni har ett kontaktformulär och användare lämnar känsliga uppgifter i fritext.

Gör så här:

  • Bygg bort risken. Byt fritext mot styrda val om möjligt (ärendetyp, kontaktväg, etc.).
  • Lägg en tydlig varning. Exempeltext: “Skriv inte känsliga personuppgifter (t.ex. hälsa) i formuläret.”
  • Säkra flödet. Se till att uppgifter inte sprids okontrollerat via mejl, tredjepart eller öppna delningar.

Marknadsföring och spårning: När data kan avslöja känsliga saker

När det händer: ni jobbar med målgrupper, pixel, remarketing, intressen – och råkar hantera data som kan kopplas till t.ex. hälsa eller sexualitet.

Gör så här:

  • Var extra försiktig med “känsliga segment”. Även indirekta slutsatser kan bli känsliga om de pekar mot artikel 9-kategorier. 
  • Minimera tredjepart. Ju fler system som får datan, desto större krav på kontroll, avtal och säkerhet. 
  • Dokumentera varför och hur. Om det ens kan bli känsligt, gör en tydlig bedömning och sätt skyddsnivån därefter.

Biometri: Passersystem, tidrapportering, identifiering

När det händer: fingeravtryck eller ansiktsigenkänning används för inpassering eller identitet.

Gör så här:

  • Utgå från att det är hög risk. Biometri för identifiering är känsligt enligt artikel 9. 
  • Välj enklare alternativ om ni kan. Kort/bricka/BankID-lösning kan ofta ge samma nytta med mindre integritetsrisk.
  • Strikt åtkomst + tydlig gallring. Om ni måste använda biometri så snäva behörigheter och rensa när behovet upphör.

Snabb checklista:

Här är en användbar checklista som ni kan använda varje gång känsliga personuppgifter dyker upp i HR, kundtjänst, formulär eller marknadsföring.

1) Identifiera: är det verkligen “känsligt”?

  • Är det en särskild kategori enligt GDPR artikel 9 (hälsa, biometri för identifiering, religion osv.)? 
  • Eller är det brott/lagöverträdelser (art. 10) eller personnummer (särskilda svenska krav)? 

Tips: Om svaret är “kanske” – utgå från att det behöver högre skydd och gör en snabb intern bedömning innan ni fortsätter.

2) Sätt ett tydligt ändamål (varför samlar vi in detta?)

Skriv ner i en mening:

  • Varför behöver vi uppgiften?
  • Vilket beslut/process ska den användas till?

Om ni inte kan beskriva ändamålet tydligt → samla inte in den.

3) Minimera: samla in minsta möjliga

  • Behöver ni detaljer (t.ex. diagnos) eller räcker det med att veta att något gäller (t.ex. “sjukfrånvaro”)? 
  • Kan ni ersätta fritext med styrda val eller avgränsade fält?

4) Säkerställ de “två nycklarna”: artikel 6 + artikel 9

Ni behöver alltid båda:

  • Rättslig grund (art. 6) – t.ex. avtal, rättslig förpliktelse eller berättigat intresse.
  • Undantag (art. 9.2) – t.ex. uttryckligt samtycke, arbetsrätt/socialt skydd, rättsliga anspråk, vård/företagshälsa. 

Om ni inte kan peka ut båda; stoppa och välj en annan väg.

5) Begränsa åtkomst: “need-to-know”

  • Vilka roller måste kunna se uppgiften för att göra jobbet?
  • Behöver alla se allt – eller kan ni dela upp informationen?

Sätt behörigheter så snävt som möjligt.

6) Säkra hanteringen (tekniskt + organisatoriskt)

Säkerställ en rimlig skyddsnivå för känsliga uppgifter:

  • säkra inloggningar och behörigheter
  • loggning där det är motiverat
  • kryptering/pseudonymisering där det går
  • rutiner för incidenter och felutskick
  • kontroll på tredjepart och flöden (t.ex. formulär → mejl → CRM)

7) Dokumentera – så att ni kan visa att ni gör rätt

Miniminivå att dokumentera internt:

  • vilken uppgiftstyp ni hanterar (art. 9 / art. 10 / personnummer)
  • ändamål
  • art. 6-grund + art. 9-undantag
  • vilka som har åtkomst
  • gallringstid
  • system/biträden som får ta del av uppgifterna

8) Sätt gallring från start (hur länge får det ligga kvar?)

  • Bestäm lagringstid direkt kopplat till ändamålet.
  • Gallra när ni inte längre behöver uppgiften – inte “när vi hinner”.

FAQ – Känsliga personuppgifter i GDPR

Vad är känsliga personuppgifter?

Det är personuppgifter som omfattas av GDPR artikel 9 (”särskilda kategorier”), t.ex. uppgifter om hälsa, religion, politiska åsikter, fackligt medlemskap, genetiska uppgifter, biometriska uppgifter för identifiering samt sexualliv/sexuell läggning.

Är sjukfrånvaro en känslig personuppgift?

Ofta ja – eftersom sjukfrånvaro typiskt kopplar till hälsa. I praktiken bör den hanteras som känslig och skyddas därefter (minimera, begränsa åtkomst, gallra).

Får vi spara diagnos eller detaljer om en persons hälsa?

Bara om ni verkligen behöver det för ett tydligt ändamål och kan visa att ni har både rättslig grund (art. 6) och ett undantag för känsliga uppgifter (art. 9.2). Ofta går det att lösa processen genom att spara mindre (t.ex. ”sjukfrånvaro” utan diagnos).

Räcker det att vi har samtycke?

Inte alltid. För känsliga uppgifter krävs i så fall uttryckligt samtycke, och samtycke måste vara frivilligt och lätt att återkalla. I beroendesituationer (t.ex. arbetsgivare–anställd) kan det vara svårt att argumentera för att samtycket är helt frivilligt.

Hur länge får vi spara känsliga personuppgifter?

Inte längre än nödvändigt för ändamålet. Sätt en lagringstid direkt och gallra när uppgiften inte längre behövs. Att spara “för säkerhets skull” är en vanlig risk.

Vilka säkerhetskrav gäller när uppgifterna är känsliga?

GDPR kräver lämpliga tekniska och organisatoriska åtgärder. I praktiken betyder det oftast: snäva behörigheter (need-to-know), säker inloggning, kontroll på delning/tredjepart, och rutiner för incidenter. Ju känsligare uppgifter och ju större omfattning, desto högre skyddsnivå.

Är personnummer en känslig personuppgift?

Personnummer är inte en “känslig uppgift” enligt GDPR artikel 9, men i Sverige finns särskilda regler och det ska hanteras med extra försiktighet.

Vad gäller för uppgifter om brott eller lagöverträdelser?

Uppgifter om lagöverträdelser omfattas av GDPR artikel 10 och har särskilda regler. De räknas inte som artikel 9-känsliga, men kräver extra skydd och tydligt stöd.

När behöver vi göra en DPIA (konsekvensbedömning)?

Om behandlingen sannolikt leder till hög risk för individers rättigheter och friheter – vilket ofta kan bli aktuellt när ni hanterar känsliga uppgifter i större skala, använder ny teknik (t.ex. biometri), eller kombinerar data på sätt som ökar riskerna.

Mer information

Vill du läsa mer (eller kunna peka på “officiellt stöd” internt)?
Här är de källor jag själv tycker är mest användbara:

IMY – vägledning om GDPR

En bra startpunkt när du vill förstå GDPR
Integritetsskyddsmyndigheten | IMY

Känsliga personuppgifter: 
När får ni behandla känsliga personuppgifter? | IMY

IMY – Dataskyddsförordningen i fulltext

Artikel 9

Artikel 10

Relaterade artiklar:

Intresseavvägning

Grundläggande principer i GDPR

Vad är en integritetspolicy?

Vill ni få ordning på era GDPR-rutiner?

Om ni känner att “vi borde ha bättre koll” – så är ni inte ensamma. Det vanligaste är inte att företag gör allt fel, utan att rutinerna saknar struktur: varför ni sparar uppgifter, hur länge, och hur ni kan visa att ni tänkt igenom det.

Vill du bolla ert upplägg? Hör av dig så tar vi en första genomgång och pekar ut de snabbaste förbättringarna att börja med.

Henrik Wahlstedt

Boka möte
Ring Henrik

eller maila henrik.wahlstedt@internetmedia.se

Upptäck hur vi kan hjälpa ditt företag att växa!
Henrik Wahlstedt