GDPR Hvad præcist er persondata?

Persondata er hjertet af  EUs databeskyttelsesforordning (GDPR), men mange er stadig usikre på, hvad “persondata” præcist er. Der findes ikke en definitiv liste over, hvad der er persondata og hvad ikke, så i sidste ende afhænger det af at fortolke GDPRs definition rigtigt:

”’[P]ersondata’ betyder enhver form for information vedrørende en identificeret eller identificerbar naturlig person (’berørt part’).”

Med andre ord, enhver information som klart er om en bestemt person. Men præcist hvor bredt favner det? GDPR forklarer:

“[E]n identificerbar naturlig person er en, som kan identificeres, direkte eller indirekte, især ved at referere til en identifikator såsom navn, identificeringsnummer, sted data, en online identifikator eller en eller flere faktorer, som er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af denne naturlige person.”

Det er en skræklig masse information. Under særlige omstændigheder kan ens IP adresse, hårfarve, arbejde eller politiske mening anses for at være persondata.

Kvalifikatorværdien “særlige omstændigheder” er værd at lægge mærke til, fordi om informationer anses persondata handler i sidste ende tit om, i hvilken kontekst data samles. Organisationer samler sædvanligvis mange forskellige typer af informationer om folk og selvom et stykke information ikke individualiserer nogen, så kan det blive relevant sammen med anden data.

For eksempel kan en organisation, som samler information om folk, der downloader produkter fra deres hjemmeside, bede dem om at angive deres beskæftigelse. Det falder ikke indenfor GDPRs rammer for persondata, da efter al sandsynlighed mange mennesker har den beskæftigelse. På lignende vis kan en organisation spørge, hvilken virksomhed de arbejder for, hvilket igen ikke kan bruges til at identificere nogen (med mindre de er den eneste medarbejder).

Dog sammenlagt kan disse informationer bruges til at indgrænse antallet af personer i sådan en grad, at du i mange tilfælde nogenlunde kan fastslå ens identitet.

Selvfølgelig er det ikke altid tilfældet. For eksempel indgrænser det ikke noget særligt meget, hvis man ved, at en er barista hos Starbucks. I det tilfælde ville man være nødt til at kombinere den information med andre informationer, såsom vedkommendes navn.

Du tror måske, at ens navn altid er persondata, men så nemt er det ikke, som  UKs databeskyttelsesmyndighed forklarer:

„I sig selv er navnet John Smith måske ikke altid persondata, fordi der er så mange individuelle personer med det navn. Dog hvis navnet kombineres med andre informationer (såsom adresse, arbejdsplads, telefonnummer), vil det sædvanligvis være nok til klart at identificere et individ.”

Dog henviser de også til, at navne ikke nødvendigvis er påkrævede for at identificere nogen:

“Bare fordi du ikke kender navnet på en individuel person, betyder det ikke, at du ikke kan identificere [dem]. Mange af os kender ikke navnet på vores naboer, men vi er stadig i stand til at identificere dem.”

En kort vejledning til, hvad er (eller kan være) persondata

Som vi har forklaret, kan det være svært at sige, om bestemte informationer svarer til GDPRs definition af persondata. Dog tilbyder , Cloud service virksomheden Boxcryptoren liste af ting, som kunne anses for at være persondata, enten selvstændigt eller i kombinaion med andre informationer:

  • Biografiske informationer eller aktuel boligsituation, inklusive fødselsdato, socialsikringsnummer, telefonnumre og e-mailadresser.
  • Udseende, ydre fremtoning og adfærd, inklusive øjenfarve, vægt og karaktertræk.
  • Arbejdsplads data og information om uddannelse, inklusive løn, skatteinformationer og studienummer.
  • Private og subjektive informationer , inklusive religion, politiske meninger og geo-tracking data.
  • Helbred, sygdom og genetik , inklusive medicinsk historie, genetiske data og information om sygefravær.

Hvordan organisationer bør håndtere persondata

Hvis du er usikker på, om de informationer du opbevarer, er persondata eller ej, så er det bedst at være på den sikre side. Det betyder at sikre sig, at data er sikret, reducere mængden af data i din opbevaring, kun at samle så meget data som nødvendigt for at fuldføre dine bearbejdningsaktiviteter og kun at beholde data så længe, som den bidrager til dens formål.

Persondata, som du samler, bør være pseudonymiseret og/eller krypteret. Pseudonymisering maskerer data ved at udskifte identificerende oplysninger med kunstige identifikatorer. Selvom det er central for at beskytte data – og nævnes 15 gange i GDPR – og kan hjælpe med at beskytte privatssfæren og sikkerheden af persondata, så har pseudonymisering sine begrænsninger, hvorfor GDPR også nævner kryptering.

Ligesom pseudonymisering tilslører kryptering information ved at erstatte identifikatorer med noget andet. Dog, hvor pseudonymisering tillader, at enhver med adgang til informationen kan se dele af datasættet, tillader kryptering kun anerkendte brugere at have adgang til det fuldstændige datasæt.

Pseudonymisering og kryptering kan bruges samtidigt eller separat.

Om kun et par måneder træder GDPR i kraft, derfor er det vigtigt, at du nu gør noget for at sikre den persondata, som du opbevarer.  Organisationer, som ikke gør det, vil stå overfor alvorlige disciplinære tiltag fra databeskyttelsesmyndigheder.

At håndtere persondata ordentligt er kun en ting, som organisationer skal gøre for at være konforme med GDPR. De, der gerne vil have råd om, hvordan de ellers kan være konforme med GDPR, bør downloade vores gratis grønbog: EUs databeskyttelsesforordning – En konformitetsvejledning.

Denne vejledning giver et overblik over nøgleforandringerne indført af GDPR, gyldighedsområdet og virkningen af forordningen og de områder, som organisationer skal fokusere på.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.