Hur ska begreppet "hälsa" förstås i GDPR?
Inom ramen för GDPR, vad anses vara en hälsofråga och därav känslig? Till exempel, vilka av dessa frågor ska betraktas som en hälsofråga? - Har du under det senaste halvåret känt att du haft svårt att koncentrera dig? - Har du under det senaste halvåret känt att du haft svårt att sova? - Har du under det senaste halvåret besvärats av huvudvärk? - Har du under det senaste halvåret besvärats av magont? - Har du under det senaste halvåret känt dig spänd? - Har du under det senaste halvåret haft dålig aptit? - Har du under det senaste halvåret känt dig ledsen? - Har du under det senaste halvåret känt dig yr i huvudet? - Har du under det senaste halvåret känt dig irriterad eller på dåligt humör? - Har du under det senaste halvåret känt dig nervös? - Har du under det senaste halvåret känt dig nere? Tacksam för svar!
Lawline svarar
Hej och tack för att du vänder dig till oss på Lawline,
UTREDNING
Den lagstiftning som främst behöver beaktas vid behandlingen av ditt ärende är Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EU:s allmänna dataskyddsförordning, GDPR, eller bara dataskyddsförordningen).
Eftersom ditt ärende avser begreppet ”hälsa” i dataskyddsförordningens mening kommer nedan framställning att koncentreras till detta och endast till sådant som är av relevans för just hälsobegreppet. Mot den bakgrunden kommer exempelvis de materiella och territoriella tillämpningsbestämmelserna liksom de s.k. dataskyddsprinciperna att lämnas därhän, se artikel 2, 3 och 5 GDPR.
När det sedan gäller uppgifter kopplade till hälsa återfinns en legaldefinition i artikel 4.15 GDPR vari sägs att med uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. Definition är således allmänt hållen och därmed omfattande och träffar därför, såvitt jag kan bedöma, merparten av frågorna i din ärendebeskrivning (eller rättare sagt de lämnade svaren). Vidare framgår av skäl 35 i preambeln till dataskyddsförordningen att uppgifter om hälsa inte bara innefattar uppgifter om den registrerades nuvarande fysiska eller psykiska hälsotillstånd. Även uppgifter med koppling till dennes tidigare och framtida hälsotillstånd ryms inom legaldefinitionen. Till och med en sådan till synes ganska banal företeelse som en uppgift om att en person har skadat sin fot och till följd av detta blivit deltidssjukskriven har ansetts utgöra en personuppgift om hälsa, vilket EU-domstolen uttalade i det s.k. Konfirmandlärarfallet vari hovrätten hade begärt ett förhandsbesked från EU-domstolen, se domstolens avgörande 2003-11-06 i mål C-101/01 (”Lindqvist”) samt det aktuella hovrättsfallet RH 2004:51.
Värt att nämna är också, även om det egentligen faller utanför din frågeställning, att uppgifter om hälsa tillhör en särskild kategori personuppgifter som enligt huvudregeln i artikel 9.1 GDPR inte får behandlas av den personuppgiftsansvarige. Med personuppgiftsansvarig avses för övrigt en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter, se artikel 4.7 GDPR. I artikel 9.2 GDPR räknas det dock upp ett antal undantag från den ovan nämnda huvudregeln och det däri generella förbudet mot behandling av känsliga personuppgifter. Ett sådant är exempelvis samtycke från den registrerade, vilket är ett sätt att åstadkomma en laglig behandling. En central utgångspunkt är att samtycket måste lämnas frivilligt varför hypotetiska och/eller tysta samtycken inte är giltiga. I artikel 4.11 GDPR anges att samtycke från den registrerade avser varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Oavsett vilket är min sammantagna bedömning, något som delvis redan har påpekats ovan, att många av de svar som kommer att lämnas torde utgöra känsliga personuppgifter varför någon av undantagsbestämmelserna i artikel 9.2 GDPR måste kunna åberopas av den personuppgiftsansvarige för att behandlingen av svaren ska vara laglig. I vart fall såsom frågorna är utformade idag. Möjligen kan de två näst sista frågorna undantas, dvs. de som lyder ”Har du under det senaste halvåret känt dig irriterad eller på dåligt humör?” och ”Har du under det senaste halvåret känt dig nervös?”. Men det är samtidigt ytterst tveksamt eftersom svaren, av uppenbara skäl, kan komma att ha samband med en fysisk persons psykiska hälsa.
Avslutande ord och ytterligare rådgivning
Vid fler frågor är du varmt välkommen att höra av dig på nytt. Antingen här på hemsidan och då genom några av våra utmärkta betaltjänster eller via vår ordinarie byråverksamhet. Själv nås jag på jacob.bjornberg@lawline.se och du får mer än gärna kontakta mig direkt ifall du önskar ytterligare hjälp i den fortsatta processen. I så fall kan jag slussa dig vidare till någon av byråns eminenta jurister utan att du behöver sitta i telefonkö. Mot bakgrund av COVID-19 erbjuder våra jurister idag möten såväl telefonledes som på Teams och andra liknande digitala plattformar.
Notera dock att vi på straff- och skatterättens område endast ger viss typ av inledande rådgivning och då inom ramen för vår expresstjänst som du numera har nyttjat. Byrån åtar sig inte några sådana uppdrag fullt ut. I så fall behöver du vända dig till en byrå specialiserad på straff- respektive skatterätt.
Avslutningsvis är den livliga förhoppningen att min hantering av ditt ärende har varit matnyttig och presenterats i en för dig utförlig och tillfredsställande form. Återkom gärna med synpunkter genom att skicka in ett omdöme när du mottar en sådan förfrågan.
Vänligen,
