Begreppet personuppgift är en helt central del av GDPR. Och ändå är det, kanske lite förvånande, inte jättetydligt vad som är en personuppgift. Begreppet personuppgift definieras i GDPR.
Vad är en personuppgift?
Personuppgifter är varje upplysning som avser en identifierad eller identifierbar person. På engelska: any information relating to an identified or identifiable person.
Här ingår sådant som är lätt att förstå, som en viss persons e-postadress eller telefonnummer. Mejlar du den e-postadressen så går mejlet till en specifik person. Ringer du det numret så kommer du till en specifik person. Uppgiften avser en viss person och vi vet vem personen är. Här finns det ingen tvekan. Det är personuppgifter vi pratar om.
Det som inte är lika intuitivt, det är sådant som går att koppla till en viss person, men där kopplingen – att uppgiften ska avse en viss person – inte lika uppenbar.
Kopplingen gör det till en personuppgiftsbehandling
Om jag skriver i företagets gruppchattkanal: “Fika i pentryt klockan 14”. Då innehåller själva meddelandetexten ingen personuppgift. Meddelandets innehåll har alltså inga personuppgifter, men meddelandet blir ändå en personuppgift. Det beror på att vi i gruppchattverktyget kan se att det var jag som skickade ett meddelande vid en viss tidpunkt och att meddelandet sa “Fika i pentryt klockan 14”.
Det finns alltså en koppling till mig som gör att det här är personuppgiftsbehandling. Informationen om vad just jag skrev, vid vilken tidpunkt, med vilket verktyg – det är information som avser mig och jag är identifierad som avsändare i chatten. Det är alltså information som avser en identifierad person.
Identifierad och identifierbar person
En annan sak med begreppet personuppgift som inte är så intuitiv, det är att personuppgifter inte bara omfattar information om identifierade personer, utan också information om identifierbara personer. Din verksamhet kan alltså ha personuppgifter utan att idag kunna koppla de uppgifterna till en viss person.
Men om ni i framtiden i ett rimligt scenario kan få ytterligare information, som gör det möjligt att koppla era uppgifter till en viss person, då är era uppgifter personuppgifter redan nu. Det beror på definitionen av personuppgift. Varje upplysning som avser en identifierad eller identifierbar person, alltså en person som ni idag inte vet vem den är, men som ni i framtiden på ett lagligt och rimligt sätt skulle kunna identifiera.
Avgjort i EU-dom
Det här framgick också i en EU-dom där en webbplatsägare loggade besökarnas ip-adresser och tidpunkt för besöken. Det här räknades som personuppgifter, även om webbplatsägare normalt sett inte kunde koppla ip-adresserna till någon viss person. Om det skedde en it-attack mot webbplatsen, då kunde däremot webbplatsägaren vända sig till myndigheter som i sin tur hade laglig rätt att kräva ut information från internetleverantören.
Internetleverantören visste nämligen vilken abonnent som hade en viss ip-adress vid en viss tidpunkt. Eftersom den här lagliga möjligheten fanns och rimligen skulle kunna komma att användas i framtiden, så var varje loggad ip-adress information om en identifierbar person.
Utgallring
Den här ganska breda tolkningen av begreppet personuppgifter återspeglas i GDPR beaktandesatser, som kan beskrivas som en slags tolkningsguide till GDPR. Där står det att för att avgöra om en person är identifierbar så bör man beakta alla hjälpmedel som rimligen kan komma att användas antingen av den personuppgiftsansvarige själv eller av någon annan för att identifiera personen.
Ett sådant hjälpmedel är att särskilja eller peka ut någon, för att direkt eller indirekt identifiera personen. Jaha, vad betyder det här då? Jo, exempelvis kan onlinespårning göra det möjligt att särskilja eller peka ut en enskild person från en större grupp av besökare. Även om besökarens namn inte synliggörs eller känns till.
Det här särskiljandet kallas utgallring i den svenska språkversionen av GDPR. På engelska heter det singling out, vilket är lättare att förstå. Det handlar om att särskilja eller peka ut en person ur en mängd. Till exempel om man har en mängd webbplatsbesökare och kan se att det här är en besökare – och en vecka senare så återkommer samma besökare igen.
Graden av integritetsintrång
Uppgifterna omfattas då av definitionen av personuppgifter, även om man inte känner till den här webbplatsbesökarens namn. En annan fråga är att graden av integritetsintrång såklart påverkas av hur mycket eller hur lite man känner till om en person. Det är givetvis bättre för integriteten att inte känna till namnet på en person än att göra det.
Men även om man inte har namnet på personen så kan det ändå vara så att man behandlar personuppgifter. Då gäller fortfarande reglerna i GDPR. Tänk dig exempelvis att man kan profilera personer utifrån etnicitet, spelmissbruk och så vidare och rikta reklam utifrån det. Det kan såklart påverka en person ganska hårt, även om den som riktar reklamen inte känner till namnet på de som ser reklamen.
Så. För att återupprepa. Även om man inte har namnet på någon så kan det ändå vara fråga om personuppgiftsbehandling. Då gäller reglerna i GDPR som tillåter och förbjuder olika typer av behandlingar.
Det var allt för den här gången, men kom tillbaka nästa vecka. Då fortsätter vi på samma tema och berör bland annat hur man kan resonera kring begreppet harmlösa personuppgifter.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.