Hej och välkommen till Molnguiden med mig Arman Borghem, Regulatory and Compliance Advisor på Cleura. Idag ska vi fortsätta tråden från förra veckan och prata om begreppet personuppgifter.
Myndigheters övervakning
Det där är en ständigt aktuell fråga, den om myndigheters övervakning. Det finns ju de som verkar vilja väga in hur pass känsliga de personuppgifter är som kan hämtas in av myndigheter eller hur uppgifterna kan komma att användas eller om personer får utstå någon slags olägenhet på grund av övervakningen.
Alltså att man ser det som att det är en skala där konsekvenserna på den mildare delen av skalan kanske rent av blir försumbara. Med andra ord att man egentligen inte behöver bry sig i de fallen.
Grundläggande rättigheter
Men tittar vi på övervaknings perspektivet i EU-domstolspraxis, då har EU domstolen sagt ungefär att: utlämnande av personuppgifter till tredjeman, så som en myndighet. Det är ett ingrepp i de grundläggande rättigheter som slås fast i artiklarna 7 & 8 i EUs rättighetsstadga, alltså rätten till privatliv och rätten till skydd för personuppgifter.
Och att det här är ett ingrepp då oavsett hur de lämnade uppgifterna senare används och att samma sak gäller vid lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem. Det här gäller dessutom oavsett om de uppgifter som avser privatlivet är känsliga. Och oavsett om de personer som berörs har fått utstå någon som helst olägenhet. På grund av det här ingreppet i de grundläggande rättigheterna.
Finns det harmlösa personuppgifter?
När det gäller harmlösa personuppgifter, finns det? Ja. Harmlösa personuppgifter är mig veterligen ingen rättsligt definierad term. Jag tycker man ska vara försiktig med att använda det begreppet, för personuppgifter existerar aldrig i ett vakuum. Om vi tar en enkel e-postadress som exempel som ska användas som en inloggningsuppgift i en webbtjänst, då kanske det är lätt att tänka just att det här måste ju vara en harmlös personuppgift.
Ej uteslutet att användaren kan spåras
Men vid en närmare granskning, då skulle vi inse att de personuppgifter som behandlas skulle kunna vara personens för och efternamn, personens arbetsgivare, när personens användarkonto lades till och togs bort från den här webbtjänsten, vid vilka tidpunkter personen loggade in och ut från webbtjänsten, vad personen gjorde i webbtjänsten, vid vilka tidpunkter. Personens typ av utrustning, webbläsare, operativsystem och från vilka ungefärliga platser personen använder webbtjänsten. I de fall en personlig IP adress exponeras, vilket i sin tur skulle kunna avslöja resmönster. Om webbtjänsten också innehåller. Tredjeparts kakor eller anrop. Då kan ju inte heller uteslutas att användaren kan spåras över nätet och att det är möjligt att identifiera andra webbplatser som användaren har besökt.
Personuppgifter finns alltid i ett sammanhang
Det här exemplet. Det visar att det som till en början kan verka vara en oskyldig eller så kallad harmlös personuppgift. Den finns vanligtvis i ett sammanhang. Och det sammanhanget kan tillföra mer information, alltså fler personuppgifter än vad man från början hade räknat med. Det här är också ett skäl till varför det är så viktigt att göra det så enkelt som möjligt för de medarbetare som hanterar personuppgifter.
En verksamhet kan säkert ha ärenden med både känslig och mindre känslig uppgiftshantering. Enklast är ju då såklart att medarbetarna inte ständigt behöver pröva om det är känsliga eller icke känsliga uppgifter. Och att medarbetarna slipper lägga vissa uppgifter i en viss lagringsyta eller ett visst system och andra uppgifter i en annan lagringsyta eller ett annat system.
Medarbetare ska slippa agera jurister
I den mån det går så vill vi att en vanlig medarbetare ska slippa att behöva agera jurist till vardags. Ibland kan det säkert behövas olika system eller lagringsytor för olika typer av information. Men kan man ordna ett system eller en lagringsyta som klarar allt ifrån och okänsligt till det som är känsligt. Då har man ju lyft bort en börda från medarbetarnas bord. Då minskar dessutom risken för misstag.
Till sist kan det dessutom rent av bli billigare eftersom man slipper köpa in och administrera flera olika digitala ytor eller system.
3 viktiga saker att tänka på när det gäller personuppgifter
Så för att sammanfatta de här senaste två avsnitten om personuppgifter:
- Personuppgifter är mer än bara det som direkt pekar ut någon.
- Det är all information som relaterar till en person. Och den personen behöver inte ens vara identifierad i detta nu. Det räcker att personen är identifierbar och för det räcker det att personen kan identifieras antingen nu eller att det rimligen kan ske i framtiden.
- Kontexten adderar information.
- En bra tumregel är att inte bara tänka personuppgifter. Tänk personuppgiftsbehandling. Vad gör vi med den här personuppgiften? En inloggningsuppgift, till exempel, den existerar inte i ett vakuum. Tänk igenom vad som händer med personuppgiften från att den skapas till hur den används till hur den till sist raderas. Vad mer tillkommer? Som kan kopplas till den ursprungliga, kanske till en början ansedd harmlösa, personuppgiften. är mycket information som tillkommer.
- Gör det inte krångligare än nödvändigt.
- Någon eller några i verksamheten behöver tänka igenom den här juridiken, gärna efter en ordentlig dialog med sin verksamhet. Men medarbetarna i linjen. De mår bäst av att slippa vara jurister till vardags. De som har bedömt och förstått personuppgiftsbehandling bör då ta fram tydliga förhållningsregler som är enkla att följa där medarbetarna behöver fatta så få beslut som möjligt om var de ska hantera olika typer av information.
Det var allt för idag. Tack för att du lyssnat. Hoppas att du känner dig bättre rustad att förstå bredden i vad personuppgifter är och hur den utmaningen kan hanteras.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.