Sensitive personopplysninger

NMBU som behandlingsansvarlig må ha et rettslig behandlingsgrunnlag for behandling av hver enkelt personopplysning. Personopplysninger som behandles for samme formål, vil ha samme behandlingsgrunnlag. Det er opp til systemeierne å vurdere om man har et grunnlag og i så fall hvilket. Dette gjøres i systemoversikten.

Fødselsnummer regnes ikke som en sensitiv opplysning. 

Sensitive personopplysninger, som i loven kalles "særlige kategorier av personopplysninger", defineres som følgende opplysningstyper:

• rase eller etnisk opprinnelse  
• politisk oppfatning 
• religiøs overbevisning eller livssyn 
• genetiske opplysninger 
• biometriske opplysninger
• helseopplysninger 
• opplysninger om seksuelle forhold eller seksuelle orientering 
• fagforeningsmedlemskap 

GDPR (personvernforordningen) setter strengere vilkår for å behandle slike opplysninger, som krever ekstra vern, jf. artikkel 9.

For at NMBU skal kunne behandle slike opplysninger, kreves det at vi i tillegg til et alminnelig behandlingsgrunnlag oppfyller et av følgende vilkår:  

• Den registrerte har gitt uttrykkelig samtykke for ett eller flere spesifikke formål (sjeldent anvendelig i arbeidsforhold) 
• Nødvendig for å oppfylle arbeidsrettslige forpliktelser eller rettigheter 
• Personopplysninger som den registrerte selv åpenbart har offentliggjort 
• Nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav 
• Nødvendig av hensyn til viktige allmenne interesser, med hjemmel i lov 
• Nødvendig i forbindelse med arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, med hjemmel i lov eller en avtale med helsepersonell, og forutsatt lovpålagt taushetsplikt 
• Nødvendig av allmenne folkehelsehensyn, som f.eks. smittevern. Behandlingen må ha lovhjemmel og det forutsettes at det gjelder lovpålagt taushetsplikt. 
• Nødvendig av arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, eller for statistiske formål.