GDPR artikkel 9 tillater behandling av sensitive personopplysninger som det er åpenbart at den registrerte selv har offentliggjort. Før NMBU bruker dette som grunnlag for å behandle opplysninger, bør det gjøres en nærmere vurdering.
Først må vi vurdere hvorvidt opplysningene er offentliggjorte. Et avisintervju med den registrerte, hvor det er klart at vedkommende selv oppgir opplysningene, er et klart eksempel som faller innenfor. Et grensetilfelle er der hvor den registrerte har lagt ut informasjon på Facebook, idet det ikke alltid er klart hvorvidt slike opplysninger er offentlige. Hvis opplysningen bare er lagt ut på en lukket gruppe, er den klart nok ikke offentlig. Antagelig må man kreve at informasjonen finnes fritt tilgjengelig for enhver uten innlogging, eller i alle fall for enhver bruker av Facebook. NMBU må gjøre en konkret og grundig vurdering av spørsmålet.
Hvis opplysningen først er offentlig, kan man tenke seg noen eksempler på sensitive opplysninger som omfattes av grunnlaget. Opplysningene gjelder feks. at den registrerte er aktiv og offentlig synlig som representant eller tillitsvalgt i en fagforening, en religiøs sammenslutning, en forening for homofiles rettigheter, mv. Et annet eksempel er at personen har offentliggjort opplysninger om sin helse eller sykdomshistorie, feks. i et avisintervju eller et blogginnlegg.
Et annet spørsmål er hvorvidt det vil være relevant for NMBU å behandle slike opplysninger, til tross for at de er offentlige. Også dette spørsmålet bør vurderes grundig.