Hej och välkommen till moln guiden med mig Arman Borghem, Regulatory and Compliance Advisor på Cleura.
Begreppet personuppgift är en helt central del av GDPR. Och ändå är det, kanske lite förvånande, inte jättetydligt vad som är en personuppgift. Begreppet personuppgift definieras i GDPR.
Personuppgifter är varje upplysning som avser en identifierad eller identifierbar person. På engelska: any information relating to an identified or identifiable person.
Här ingår sådant som är lätt att förstå som en viss persons e-postadress eller telefonnummer. Mejlar du den e-postadressen så går mejlet till en specifik person. Ringer du det numret så kommer du till en specifik person. Uppgiften avser en viss person och vi vet vem personen är. Här finns det ingen tvekan. Det är personuppgifter vi pratar om. Det som inte är lika intuitivt. Det är sådant som går att koppla till en viss person, men där den där kopplingen, att uppgiften ska avse en viss person. Den kopplingen är inte lika uppenbar.
Om jag skriver i företagets gruppchattkanal: ”Fika i pentryt klockan fjorton”. Då innehåller själva meddelandetexten Ingen personuppgift. Alltså meddelandets innehåll har inga personuppgifter, men meddelandet blir ändå en personuppgift. Och det beror på att vi i gruppchatt verktyget kan se att det var jag som skickade ett meddelande vid en viss tidpunkt och att meddelandet sa ”Fika i pentryt klockan fjorton”.
Det finns alltså en koppling till mig som gör att det här är personuppgiftsbehandling. Informationen om vad just jag skrev, vid vilken tidpunkt, med vilket verktyg det är information som avser mig och jag är identifierad som avsändare i chatten. Det är alltså information som avser en identifierad person.
En annan sak med begreppet personuppgift som inte är så intuitiv. Det är att personuppgifter inte bara omfattar information om identifierade personer utan också information om identifierbara personer. Din verksamhet kan alltså ha uppgifter utan att idag kunna koppla de uppgifterna till en viss person.
Men om ni i framtiden i ett rimligt scenario kan få ytterligare information, som gör det möjligt att koppla era uppgifter till en viss person, då är era uppgifter personuppgifter redan nu. Det beror på definitionen av personuppgift. Varje upplysning som avser en identifierad eller identifierbar person, alltså en person som ni idag inte vet vem den är, men som ni i framtiden på ett lagligt och rimligt sätt skulle kunna identifiera.
Det här framgick också i en EU dom där en webbplatsägare loggade besökarnas IP adresser och tidpunkt för besöken. Det här räknades som personuppgifter, även om webbplatsägare normalt sett inte kunde koppla IP adresserna till någon viss person. Om det skedde en IT attack mot webbplatsen. Då kunde däremot webbplatsägaren vända sig till myndigheter som i sin tur hade laglig rätt att kräva ut information från internetleverantören.
För internetleverantören visste vilken abonnent som hade en viss IP adress vid en viss tidpunkt. Eftersom den här lagliga möjligheten fanns och rimligen skulle kunna komma att användas i framtiden. Så var varje loggad IP adress information om en identifierbar person.
Den här ganska breda tolkningen av begreppet personuppgifter. Den återspeglas i GDPR beaktandesatser som kan beskrivas som en slags tolknings guide till GDPR. Där står det att för att avgöra om en person är identifierbar så bör man beakta alla hjälpmedel som rimligen kan komma att användas antingen av den personuppgiftsansvarige själv eller av någon annan för att identifiera personen.
Ett sådant hjälpmedel är. Att särskilja eller peka ut någon för att direkt eller indirekt identifiera personen. Jaha, vad betyder det här då? Jo, exempelvis kan onlinespårning göra det möjligt att särskilja eller peka ut en enskild person från en större grupp av besökare. Även om besökarens namn inte synliggörs eller känns till.
Det här särskiljande kallas utgallring i den svenska språkversionen av GDPR. På engelska heter det singling out, vilket är lättare att förstå. Det handlar om att särskilja eller peka ut en person ur en mängd. Till exempel om man har en mängd webbplats besökare och kan se att det här är en besökare. Och om en vecka senare så återkommer samma besökare igen.
Då är man inne i definitionen av personuppgifter även om man inte känner till den här besökarens namn. En annan fråga är att graden av integritetsintrång såklart påverkas av hur mycket eller hur lite man känner till om en person. Det är bättre för integriteten att inte känna till namnet på en person än att göra det givetvis.
Men även om man inte har namnet på personen så kan det ändå vara så att man behandlar personuppgifter. Och då gäller fortfarande reglerna i GDPR. Tänk dig exempelvis att man kan profilera personer utifrån etnicitet, spelmissbruk och så vidare och rikta reklam utifrån det. Det kan såklart påverka en person ganska hårt, även om den som riktar reklamen inte känner till namnet på de som ser reklamen.
Så. För att återupprepa. Även om man inte har namnet på någon så kan det ändå vara fråga om personuppgiftsbehandling och då gäller reglerna i GDPR som tillåter och förbjuder olika typer av behandlingar. Det var allt för den här gången, men kom tillbaka nästa vecka. Då fortsätter vi på samma tema och berör bland annat hur man kan resonera kring begreppet harmlösa personuppgifter.
Tack för idag.