Alla kategorier › GDPR ›

Personuppgifter

Vad är en personuppgift?

Personuppgifter är uppgifter som kan kopplas till en enskild person, antingen ensamt (till exempel personnummer) eller tillsammans med andra personuppgifter (till exempel ett förnamn och bostadsadress). Begreppet personuppgift är brett och fångar alla typer av uppgifter som säger något om en person, som identifierar denne. Skyddet av den personliga integriteten byggs upp runt individers personuppgifter.

I GDPR uttrycks detta på så sätt att en person är identifierbar om personen kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en flera faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.  

Extensiv tolkning

Vad som utgör en personuppgift ska således tolkas brett. Exempel på personuppgifter är namn och kundnummer men också bild, röst, registreringsnummer, lägenhetsnummer, postnummer till hemadressen, fastighetsbeteckning och uppgift om part i ett tvistemål eller brottmål.

När det gäller registreringsnummer, IP-nummer, GPS-positioner, fastighetsbeteckningar och liknande kan de i vissa fall hänföras till en individ. De är ofta omöjligt att på förhand veta vilka av sådana personuppgifter som kan hänföras till en specifik person. Det beror på vilka sökmöjligheter och källor som läsaren förfogar över. Det innebär att organisationen i praktiken bör betrakta alla sådana nummer som personuppgifter,

Personnummer och samordningsnummer

Det kanske enklaste sättet att identifiera en person i Sverige är genom att använda person- eller samordningsnummer. samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folkbokförda i Sverige. Syftet med samordningsnummer är att myndigheter och andra samhällsfunktioner ska kunna identifiera personer även om de inte är folkbokförda i Sverige.

Avlidna personer

GDPR gäller enbart behandling av personuppgifter knutna till levande personer. Uppgifter om personer som enligt svensk rätt ska betraktas som avlidna, eller personer som ännu inte är födda omfattas inte av GDPR. Däremot omfattar GDPR uppgifter om vilka levande personer som är släkt med den som är avliden eller om vem som kommer att bli förälder när en person föds levande.

Juridiska personer

Uppgifter om juridiska personer omfattas enligt huvudregel inte i sig av definitionen, även om den juridiska personen skulle råka ägas av en eller ett fåtal fysiska personer eller ha en benämning  som innefattar ett personnamn.

Pseudonymiserade uppgifter

Personuppgifter omfattas av GDPR så länge någon kan göra uppgifterna läsbara och därmed identifiera individer. För att de ska anses pseudonymiserade och därigenom inte behöva följa kraven i GPDR – ska detta inte längre vara möjligt. Anonyma uppgifter som gör det möjligt med så kallade bakvägsidentifikation av en fysisk person omfattas förför av begreppet personuppgift. Det räcker att informationen indirekt kan hänföras till en individ.

Motsvarande resonemang kan föras beträffande så kallade mätnodsadresser och liknande “elektroniska identiteter” som den som driver en elektronisk tjänst på till exempel intern samlar in. Sådana uppgifter om användarna kan nämligen ofta hänföras till en individ med hjälp av uppgifter som användarens internetleverantör har tillgång till.

Känsliga personuppgifter

Personuppgifter som rör ras eller etnisk ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning utgör känsliga personuppgifter.

Känsliga personuppgifter är komplexa att hantera, eftersom huvudregeln är att behandling inte är tillåtet. Läs med om känsliga uppgifter här.