Varför kreditkortsnummer inte är känslig personuppgift

Det är många som undrar varför kreditkortsnummer inte är känslig personuppgift enligt GDPR. Enligt GDPR (dataskyddsförordningen) är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. Känsliga personuppgifter är exempelvis uppgifter om hälsa, såsom arbetstagares sjukfrånvaro , politiska åsikter och religösa tro. Dessutom kan en bild eller ljudinspelning innehålla känsliga personuppgifter. När det går att koppla en uppgift till en levande person, är det en personuppgift. Med andra ord spelar det ingen roll om det är en tydlig personuppgift som ett namn, eller en kod som det går att identifiera en person med genom bakvägsidentifikation. Däremot skiljer GDPR på vanliga och känsliga personuppgifter. 

För att ett företag ska få behandla personuppgifter som är känsliga, måste företaget få ett samtycke som är uttryckligt. Kravet är högre om det är känsliga personuppgifter som samtycket avser. Dessutom ställer GDPR större krav på säkerheten där personuppgifterna blir behandlade och lagrade om det gäller känsliga personuppgifter. Exempelvis ska en arbetsgivare inte skicka en lönespecifikation som innehåller uppgift om sjukfrånvaro eller annan känslig personuppgift genom e-post som inte är krypterad. Detta gäller, eftersom det inte uppfyller säkerhetskraven enligt GDPR. 

Varför är inte kreditkortsnummer en känslig personuppgift enligt GDPR?

Enligt GDPR är inga personuppgifter som handlar om ekonomi att anse som känsliga personuppgifter. Däremot är ett kreditkortsnummer en integritetskänslig personuppgift. Om ett företag behandlar kreditkortsnummer och inte har tillräckligt hög säkerhet, kan det leda till sanktionsavgifter från tillsynsmyndigheten. I Sverige är det IMY som är tillsynsmyndighet för frågor och ärenden om bland annat GDPR. 

Är ett personnummer en känslig personuppgift?

Ett personnummer är inte en känslig personuppgift enligt GDPR. Däremot är det också en integritetskänslig personuppgift och därför måste företag behandla det med större säkerhet, än “vanliga personuppgifter”.

I ett aktiebolag är organisationsnumret inte en personuppgift, men i en enskild firma är det en personuppgift. I Sverige är dessutom personnummer en offentlig handling, vilket innebär det går att ta reda på någons personnummer på internet. Även fast det inte vore tillåtet enligt enbart reglerna i GDPR, står andra lagar över GDPR och därför är det tillåtet. Dessutom finns det sidor där det går att söka på exempelvis brottshistorik, vilket är en integritetskänslig personuppgift, men har grundlagsskydd. Därför är det tillåtet för dessa sidor som är en form av personsöktjänster, även fast det är ett vanligt klagomål som IMY får in. 

Mer information 

Här kan du läsa mer om:

Radera personuppgifter utan onödigt dröjsmål.

Inte tillåtet med muntliga personuppgiftsbiträdesavtal.

Ge ut information till en registrerad som begär det.

Två vanliga rättsliga grunder företag använder.

Striktare regler om personuppgifter förs till tredje land.

Personuppgifter & kontrollera ålder på unga användare.

Inhämta samtycke från anställd som arbetsgivare.

Skribent: Företagsforumet

Fler inlägg om juridik

Forumet kan du som medlem ställa frågor, kommentera och diskutera företagande med andra medlemmar. Forumet är en digital plattform där medlemmar kan lära sig av varandra och dela med sig av erfarenheter.

Besök Forumet – klicka här!

Dela detta inlägg: