Personaluppgifter är hjärtat i EG:s General Data Protection Regulation (GDPR), men många människor är fortfarande osäkra på vad ”personuppgifter” avser. Det finns inte någon definition på vad som är och inte är personuppgift så när allt kommer omkring så är det en fråga om att rätt tolka GDPR:s definition:
”[P]ersonuppgift” betyder all information som hänvisar till en identifierad eller identifierbar fysisk person (”dataperson”).”
Med andra ord all information som tydligt handlar en särskild person. Men hur bred omfattning har detta? GDPR klarlägger:
“[E]n identifierbar fysisk person är en som kan identifieras, direkt eller indirekt, särskilt med hänvisning till en identifierare som ett namn, ett ID-nummer, platsuppgift, en online identifierare eller till en eller flera faktorer specifika för den fysiska, psykologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos denna fysiska person.”
Det här en väldigt stor mängd information. Under vissa omständigheter, någons IP-adress, hårfärg, arbetsmässiga eller politiska åsikter skulle kunna anses som personuppgifter.
Kvalifikations ”vissa omständigheter” är värt att nagelfara för om informationen anses som personuppgift framkommer detta ofta i det sammanhang där uppgifterna samlas in. Organisationer samlar vanligtvis in olika typer av information om människor och även om ett stycke data inte individualiserar någon kan det vara relevant tillsammans med andra uppgifter.
Ta till exempel en organisation som samlar in information om människor som laddar ner produkter från sin webbsajt kan be dem uppge sitt yrke. Detta faller inte inom ramen för GDPR:s definition av personuppgift, eftersom många människor sannolikt har det yrket. På liknande sätt kan en organisation fråga vilket företag som de arbetar hos, kan återigen inte användas för att identifiera någon (om vederbörande inte var den ende anställde).
När insamlade tillsammans kan emellertid denna information användas för att begränsa antalet människor i en sådan omfattning att man i många fall rimligen kan fastställa någons identitet.
Detta är naturligtvis inte alltid fallet. Om man exempelvis vet att någon är en barista på Starbucks så utgör detta inte någon särskild avgränsning. I det fallet skulle uppgiften behöva kombineras med mer information som tex. Personens namn.
Du kanske tror att någons namn alltid är en personuppgift men så enkelt är det inte som Storbritanniens Informationskommissionärs kontor förklarar:
”I sig själv kan namnet John Smith kanske inte alltid vara personuppgift eftersom det kan finnas många enskilda med det namnet. Men om namnet kombineras med annan information (som tex. adress , arbetsplats eller telefonnummer) kommer detta vanligtvis att vara tillräckligt för att tydligt identifiera en enskild person.”
Emellertid ska noteras att namn nödvändigtvis inte krävs för att identifiera någon:
”Bara för du helt enkelt inte känner till namnet på en enskild person betyder inte att du inte kan identifiera [dem]. Många av oss känner inte till namnet på alla våra grannar men vi kan fortfarande identifiera dem.”
En kort vägledning till vad som är (eller kunde vara) personuppgift
Som vi förklarade kan det vara svårt att säga om viss information uppfyller GDPR:s definition på personuppgift. Men, Molntjänstföretaget Boxcryptortillhandahåller en förteckning på saker som kan anses vara personuppgift, antingen på deras egen eller i kombination med annan uppgift:
- Biografisk information eller nuvarande levnadssituation, inklusive födelsedatum, personnummer, telefonnummer eller e-post-adresser.
- Ansiktsdrag, utseende och beteende , inklusive ögonfärg, vikt, egenskaper.
- Arbetsplatsuppgifter och utbildningsinformation, inklusive lön, skatteinformation och studentnummer.
- Privat och subjektiva uppgifter, inklusive religion, politiska åsikter och platsspårningsuppgifter.
- Hälsa, sjukdom och genetiska data, inklusive medicinsk historia, genetiska uppgifter och sjukskrivningsinformation.
Hur organisationer bör hantera personuppgifter
Om du är osäker på om informationen som du förvarar är personuppgift eller inte är det bäst att ha fel på den försiktiga sidan. Detta betyder att du måste säkerställa att uppgiften är säker, minska mängden data som du förvarar, bara samla in så mycket data som är nödvändigt för att slutföra behandling av aktiviteter och bara behålla uppgifterna så länge som de fyller en uppgift.
Personuppgifter som du samlar in ska vara anonymiserade och/eller krypterade. Pseudonymisering maskerar data genom att ersätta identifierande information med artificiella identifierare. Även om det är centralt för att skydda data – vilket nämns 15 gånger i GDPR – och kan bidra till att skydda personuppgifter och säkerhet för personuppgifter, har pseudonymisering sina gränser, varför GDPR även nämner kryptering.
Kryptering förhindrar även information genom att ersätta identifierare med något annat. Men medan pseudonymisering tillåter alla som har tillgång till data för att se en del av datasatsen, tillåter kryptering endast godkända användare att få tillgång till hela data-uppsättningen.
Pseudonymisering och kryptering kan användas samtidigt eller separat.
Korrekt hantering av personuppgifter är bara en sak som organisationerna behöver vidta för att följa GDPR kraven. De som önskar råd om hur man på annat sätt ska följa GDPR förordningarna bör ladda ner vår kostnadsfria Grönbok på: EG:s General Data Protection Regulation – En Efterlevnads Guide.
Denna guide ger en översikt över de viktigaste förändringarna introducerade av GDPR, omfattning och effekter av Förordningen och områden som organisationer behöver fokusera på.
