Vad utgör personuppgifter (GDPR)?

GDPR bygger på att skydda EU-medborgares och invånares personuppgifter. Genom att förstå vad detta innebär kommer ditt företag att kunna få grepp om sina GDPR-krav. Faktum är att GDPR endast gäller personuppgifter. Men vad är personuppgifter egentligen? Bredden av denna kategori kan överraska dig! I den här artikeln hjälper vi dig att avgöra vilken av dina uppgifter som faller under GDPR-bestämmelserna, vilket förhoppningsvis hindrar dig från att radera användbar information i onödan.

Vi kommer också att förklara skillnaden mellan personuppgifter och känsliga personuppgifter – en nyckelskillnad under GDPR, med konsekvenser för hur de samlas in, lagras och behandlas.

Vad är personuppgifter exakt?

Tyvärr innehåller GDPR inte en heltäckande lista över vad den betraktar som personuppgifter. Regelverket säger att personuppgifter är - "All information som avser en identifierbar fysisk person".

För lekmannen innebär detta all information som kan användas – ensam eller i kombination med annan information – för att identifiera en levande registrerad. Personuppgifter kan vara något uppenbart, som ett namn eller användarnamn, eller det kan vara något mindre uppenbart som CCTV-bilder.

Detta beror på att sådan data kan användas för att bekräfta din fysiska närvaro någonstans. Det inkluderar även telefonplatsdata, IP-adresser och cookiedata, såväl som e-postadresser och hemadresser.

Det är dock viktigt att komma ihåg att dessa saker i sig inte nödvändigtvis utgör personuppgifter, enligt definitionen i GDPR-reglerna – allt beror på den specifika omständigheten.

Vad har Omständighet med det att göra?

Ta till exempel någons namn.

Du kan anta att detta alltid skulle kategoriseras som personuppgifter enligt GDPR, men du skulle ha fel. Med tanke på att det finns 48 532 John Smiths i USA, kan detta namn i sig inte användas för att identifiera en specifik individ ( US Census Bureau). Som jämförelse är det förmodligen säkert att säga att Elon Musks son är den enda personen på planeten som heter X Æ A-12 Musk (för tillfället).

Det är därför naturligt att GDPR skulle betrakta hans namn som personuppgifter, eftersom denna information i sig räcker för att nollställa hans individuella identitet. Detta ändras dock om det kombineras med annan information i filen. E-postadressen johnsmith@businessx.com skulle anses vara personlig information eftersom den indikerar att det bara finns en John Smith som arbetar för just detta företag.

Betraktas inget som personuppgifter?

I de flesta fall betraktas inte uppgifter om döda personer som personuppgifter enligt GDPR. I skäl 26anges också att anonyma uppgifter inte omfattas av GDPR-reglerna. Anonymisering är processen att rensa alla personliga identifierare från data. Det bör inte förväxlas med pseudonym eller krypterad data, som fortfarande kan bearbetas för att identifiera personer. GDPR uppmuntrar dock aktivt pseudonymisering av personuppgifter eftersom det ger en extra säkerhetsnivå för registrerade. Detta beror på att pseudonymiserad data endast kan nås av auktoriserade anställda – vilket minskar integritetsriskerna för personer som har lämnat sina uppgifter till företag.

Hur är det med GDPR-känsliga personuppgifter?

Känsliga personuppgifter – eller ”specialkategoridata” på det officiella språket i artikel 9– har lyfts fram av GDPR som något som måste hanteras med extra säkerhet. Här är alla exempel på känsliga personuppgifter:

• Ras eller etniskt ursprung
• Politiska åsikter
• Religiösa eller filosofiska övertygelser
• Medlemskap i fackförening
• Brottsregister
• Sekretessbelagda uppgifter
• Genetiska data
• Finansiella data
• Biometriska data
• Hälsodata
• Sexliv eller sexuell läggning
• Företags- eller arbetsinformation

Denna skillnad mellan personuppgifter och känsliga personuppgifter är viktig. Enligt GDPR kan känsliga uppgifter endast behandlas om de uppfyller ett eller flera av följande villkor:

• Om personen har lämnat ett uttryckligt samtycke eller redan gjort uppgifterna offentliga
• Om uppgifterna krävs för att skydda de registrerades intressen som fysiskt inte kan ge samtycke
• Om uppgifterna är nödvändiga för att uppfylla kraven på anställning, social trygghet eller socialt skydd enligt lagen
• Om uppgifterna behövs av en ideell organisation för att utföra legitima aktiviteter
• Om uppgifterna behövs för verksamhet som rör väsentligt allmänintresse med hänsyn till hälsa eller medicin

Du är redo för data

Förhoppningsvis har du nu fått en bättre uppfattning om vilka personliga och känsliga uppgifter du har registrerat. Detta är det första steget mot att identifiera och klassificera data och att säkerställa att sättet du lagrar personuppgifter respekterar rättigheterna för EU-internetanvändare enligt GDPR. Att förbättra säkerheten för denna känsliga information kommer också att skydda dig bättre i den olyckliga händelsen av ett dataintrång – vilket minskar böterna som ditt företag skulle få från dataskyddsmyndigheter.

Du kan upptäcka mer om GDPR och datasekretess i vår omfattande guide.