Behandling av barns hälsouppgifter inom hobbyverksamhet

På basis av startenkäten för projektet GDPR4CHLDRN – Dataskydd inom hobbyverksamhet väcker behandlingen av uppgifter som beskriver barns hälsotillstånd, i synnerhet uppgifter om allergier, frågor. Syftet med denna artikel är att ge riktlinjer för adekvat behandling av barns hälsouppgifter inom hobbyverksamhet.

I regel är det tillåtet att behandla barns hälsouppgifter inom hobbyverksamhet så länge som det sker inom de gränser som ställs i dataskyddslagstiftningen.

Vad avses med uppgifter som beskriver hälsotillståndet?

Enligt EU:s allmänna dataskyddsförordning innefattar hälsouppgifter uppgifter som hänför sig till en registrerad persons fysiska eller psykiska hälsotillstånd.

Uppgifter om hälsa är bland annat

  • uppgifter om personens fysiska sjukdomar, till exempel allergier eller diabetes
  • personuppgifter som hänför sig till den psykiska hälsan
  • uppgifter om personens medicinering
  • uppgifter om tillhandahållande av hälso- och sjukvårdstjänster när uppgifterna berättar om personens hälsotillstånd.

När är det tillåtet att behandla uppgifter som beskriver hälsotillståndet?

Enligt den allmänna dataskyddsförordningen utgör uppgifterna om hälsa en särskild kategori av personuppgifter vars behandling ska grunda sig på dataskyddsförordningen eller annan lagstiftning. Enligt den allmänna dataskyddsförordningen kan behandlingen av uppgifter om hälsotillstånd vara tillåtet till exempel efter den registrerades uttryckliga samtycke. Med kravet på ett uttryckligt samtycke avses det sätt med vilken den registrerade uttrycker sitt samtycke. Ett uttryckligt samtycke kan lämnas till exempel genom att skriva under ett skriftligt yttrande, med en digital signatur eller med tvåstegsverifiering.

Inom hobbyverksamhet erhålls barns hälsouppgifter i praktiken ofta av barns vårdnadshavare, en annan företrädare för barnet eller av barnet självt. Uppgifter om barns allergier, sjukdomar eller medicinering kan ofta vara väsentliga för att barns hälsa och säkerhet inom hobbyverksamheten kan garanteras.

Om hälsouppgifter samlas in efter barnets eller barnets företrädares samtycke, ska den personuppgiftsansvarige endast be om de hälsouppgifter som är behövliga och väsentliga för barnets hälsa och säkerhet. Uppgifter får inte samlas in ”för att vara på den säkra sidan” eller för eventuellt kommande behov. Till exempel uppgifter om födoämnesallergier får inte samlas in om det inte just vid tillfället finns någon adekvat grund för det. Den personuppgiftsansvarige ska kunna bevisa att barnets eller barnets företrädare har lämnat ett uttryckligt samtycke till behandlingen av barnets hälsouppgifter.

Mer information om förutsättningarna för samtycket finns på dataombudsmannens byrås webbplats.

Vem får behandla hälsouppgifter inom hobbyverksamhet?

Den personuppgiftsansvarige ska fastställa vem som har rätt att behandla barns hälsouppgifter. Inom hobbyverksamhet ska tillgång till uppgifterna i regel ges till de personer som ansvarar för barnet. Det kan till exempel vara väsentligt för handledaren för barnets idrottslag att känna till barnets hälsouppgifter om man på detta sätt kan förvissa sig om barnets säkerhet inom hobbyverksamheten och reagera på eventuella symptom. Uppgift om barnets allergi kan också vara viktig till exempel på läger eller i motsvarande situationer där handledarna ansvarar för barnens måltider.

Den personuppgiftsansvarige ska också fastställa de parter som inte ska beviljas tillgång till hälsouppgifterna. Den personuppgiftsansvarige ska försäkra sig om att hälsouppgifter inte överlämnas till utomstående parter. Till exempel barn i samma idrottslag eller deras föräldrar har i regel inte någon grund att få uppgifter om omständigheter som beskriver barnets hälsotillstånd. Uppgifter får endast överlämnas på adekvata grunder.

Hur ska hälsouppgifterna förvaras?

Förvaring av uppgifterna är också behandling av personuppgifter. Vid förvaring av personuppgifter ska man beakta bland annat adekvat säkerhet för personuppgifterna, inklusive skydd mot otillåten och lagstridig behandling.

Säkerheten för personuppgifterna kan tryggas till exempel genom att skydda den personuppgiftsansvariges system från cyberattacker eller genom att skydda fysiska enheter eller papper från utomstående. Den skyddsnivå som krävs beror på naturen av de uppgifter som behandlas och datavolymens omfattning; till exempel hälsouppgifter som utgör en särskild kategori av personuppgifter ska skyddas effektivare.

I synnerhet vid förvaring av minderåriga barns hälsouppgifter ska man beakta att uppgifterna är känsliga och att spridning av uppgifterna kan eventuellt medföra risker för barn. Hälsouppgifter ska förvaras så att utomstående inte har tillgång till dem. Uppgifterna får inte överlämnas till en större grupp personer än vad som är nödvändigt.

Vid behandlingen av personuppgifterna ska man dessutom bedöma när den personuppgiftsansvarige inte längre har någon grund att förvara uppgifterna. Den personuppgiftsansvarige ska fastställa förvaringstiden för de uppgifter som samlats in och försäkra sig om att uppgifterna raderas när de inte längre behövs inom hobbyverksamheten. Vid fastställande av förvaringstiden ska man till exempel beakta situationer där barnet slutar delta i hobbyverksamheten. Vid förvaring av personuppgifterna ska man också beakta ändringar i personalen så att personer som inte längre deltar i hobbyverksamheten inte behandlar uppgifterna utan grund.

Övrigt som den personuppgiftsansvarige ska beakta

Ovan har vi lyft fram aspekter som den personuppgiftsansvarige bör beakta vid behandling av barns hälsouppgifter. Utöver den personuppgiftsansvarige egna åtgärder ska man även försäkra sig om att personer som deltar i hobbyverksamheten vet hur personuppgifter behandlas adekvat och känner till kraven i dataskyddslagstiftningen.

Vi rekommenderar att den personuppgiftsansvarige diskuterar frågor som förknippas med behandling av barnets hälsouppgifter även med barnets vårdnadshavare eller en annan företrädare för barnet så att de vet hur barnets uppgifter behandlas. Med stöd av den allmänna dataskyddsförordningen har var och en rätt att få veta vilka av deras uppgifter den personuppgiftsansvarige behandlar och hur uppgifterna behandlas. Således ska man även tydligt och förståeligt berätta även för barnen om behandlingen av deras personuppgifter.

Författaren

Emmi Iivonen
Emmi Iivonen är inspektör vid dataombudsmannens byrå och deltar som sakkunnig i projektet GDPR4CHLDRN.