Skip to main content

Hva utgjør personopplysninger (GDPR)?

GDPR er bygget opp rundt beskyttelse av personopplysninger til EU-borgere og innbyggere. Å forstå hva dette betyr vil gjøre det mulig for bedriften din å få kontroll på sine GDPR-krav. Faktisk gjelder GDPR kun for personopplysninger. Men hva er egentlig personopplysninger? Bredden i denne kategorien kan overraske deg! I denne artikkelen hjelper vi deg med å finne ut hvilke av dataene dine som faller inn under GDPR-regelverket, og forhåpentligvis hindrer vi deg i å slette nyttig informasjon unødvendig.

Vi vil også forklare forskjellen mellom personopplysninger og sensitive personopplysninger – et sentralt skille under GDPR, med implikasjoner for hvordan de samles inn, lagres og behandles.

Hva er personopplysninger nøyaktig?

Dessverre inkluderer ikke GDPR en uttømmende liste over hva den anser som personopplysninger. Forskriften sier at personopplysninger er - "Alle opplysninger om en identifiserbar fysisk person".

For lekmannen betyr dette all informasjon som kan brukes – alene eller i kombinasjon med annen informasjon – for å identifisere en levende registrert. Personopplysninger kan være noe åpenbart, for eksempel et navn eller brukernavn, eller det kan være noe mindre synlig som CCTV-opptak.

Dette er fordi slike data kan brukes til å bekrefte din fysiske tilstedeværelse et sted. Det inkluderer også telefonposisjonsdata, IP-adresser og informasjonskapseldata, samt e-post- og hjemmeadresser.

Det er imidlertid viktig å huske at disse tingene i seg selv ikke nødvendigvis utgjør personopplysninger, som definert av GDPR-regelverket – alt avhenger av den spesifikke omstendigheten.

Hva har omstendighetene med det å gjøre?

Ta noens navn, for eksempel.

Du kan anta at dette alltid vil bli kategorisert som personopplysninger under GDPR, men du tar feil. Gitt at det er 48 532 John Smiths i USA, kan ikke dette navnet i seg selv brukes til å identifisere en spesifikk person ( US Census Bureau). Til sammenligning er det sannsynligvis trygt å si at Elon Musks sønn er den eneste personen på planeten som heter X Æ A-12 Musk (for øyeblikket).

Det er derfor naturlig at GDPR vil anse navnet hans som personopplysninger, siden denne informasjonen i seg selv er nok til å nullstille hans individuelle identitet. Dette endres imidlertid hvis det kombineres med annen informasjon på filen. E-postadressen johnsmith@businessx.com vil bli ansett som personopplysninger siden den indikerer at det bare er én John Smith som jobber for dette bestemte selskapet.

Betraktes noe som ikke som personopplysninger?

I de fleste tilfeller regnes ikke data om døde personer som personopplysninger under GDPR. I punkt 26står det også at anonyme data ikke faller inn under GDPR-regelverket. Anonymisering er prosessen med å skrubbe alle personlige identifikatorer fra data. Det bør ikke forveksles med pseudonyme eller krypterte data, som fortsatt kan behandles på nytt for å identifisere personer. GDPR oppmuntrer imidlertid aktivt til pseudonymisering av personopplysninger fordi det gir et ekstra sikkerhetsnivå for registrerte. Dette er fordi pseudonymiserte data kun kan nås av autoriserte ansatte – og reduserer dermed personvernrisikoen for personer som har gitt dataene sine til selskaper.

Hva med GDPR-sensitive personopplysninger?

Sensitive personopplysninger – eller «spesiell kategoridata» i det offisielle språket i artikkel 9– har blitt fremhevet av GDPR som noe som må håndteres med ekstra sikkerhet. Her er alle eksempler på sensitive personopplysninger:

  • Rase eller etnisk opprinnelse
  • Politiske meninger
  • Religiøs eller filosofisk tro
  • Fagforeningsmedlemskap
  • Kriminelt rulleblad
  • Klassifiserte data
  • Genetiske data
  • Økonomiske data
  • Biometriske data
  • Helsedata
  • Sexliv eller seksuell legning
  • Bedrifts- eller jobbinformasjon

Dette skillet mellom personopplysninger og sensitive personopplysninger er viktig. I henhold til GDPR kan sensitive data kun behandles hvis de oppfyller en eller flere av følgende betingelser:

  • Hvis personen har gitt uttrykkelig samtykke eller allerede har offentliggjort dataene
  • Hvis dataene er nødvendige for å beskytte interessene til registrerte som fysisk ikke er i stand til å gi samtykke
  • Hvis dataene er avgjørende for å oppfylle kravene til ansettelse, trygd eller sosial beskyttelse i henhold til loven
  • Hvis dataene er nødvendige av en ideell organisasjon for å utføre legitime aktiviteter
  • Dersom opplysningene er nødvendige for aktiviteter knyttet til vesentlige allmenne interesser med hensyn til helse eller medisin

Du er dataklar

Forhåpentligvis har du nå fått en bedre ide om hvilke personlige og sensitive data du har registrert. Dette er det første skrittet mot å identifisere og klassifisere data, og sikre at måten du lagrer personopplysninger på respekterer rettighetene til internettbrukere i EU under GDPR. Å forbedre sikkerheten til denne sensitive informasjonen vil også bedre beskytte deg i det uheldige tilfellet av et datainnbrudd – noe som reduserer bøtene som bedriften din vil motta fra databeskyttelsesmyndighetene.

Du kan finne ut mer om GDPR og personvern i vår omfattende veiledning.