Begreppet personuppgifter är centralt i dataskyddsförordningen (GDPR). Det avgör när regelverket är tillämpligt och vilka skyldigheter som måste uppfyllas för att säkerställa regelefterlevnad. En viktig fråga är därför vad som avses med personuppgifter och vilka praktiska aspekter som bör beaktas.
Vad är personuppgifter?
Enligt GDPR avses med personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person. Med identifierbar fysisk person menas en person som direkt eller indirekt kan identifieras. Lagtexten ger exempel på identifieringsmetoder, såsom identifierare, det vill säga information som kan användas för att identifiera en person. Exempel som nämns är namn, identifikationsnummer, lokaliseringsuppgifter och nätidentifierare.
Ett annat sätt att identifiera en person som framgår av lagtexten är att använda en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Exempel av personuppgifter är namn, adress, e-postadress, personnummer, id-kortnummer, telefonnummer, IP-adress och bild. EU-domstolens rättspraxis visar även att en persons underskrift, felaktiga uppgifter om en person och nätidentifierare omfattas av begreppet. Exemplen som nämns här är inte uttömmande utan det finns många fler uppgifter som är personuppgifter i GDPR:s mening.
Rättslig innebörd
Omfattningen av begreppet personuppgift utvecklas löpande genom EU-domstolens rättspraxis som i ett flertal avgöranden har slagit fast att det ska ges en vid definition. Detta innebär att omfattningen av begreppet utökas kontinuerligt, inte minst med anledning av den tekniska utvecklingen på dynamiska områden som artificiell intelligens och digitalisering.
En viktig begränsning av begreppets omfattning är emellertid att GDPR inte gäller för behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får dock fastställa särskilda regler för dessa uppgifter.
Det är viktigt att skilja begreppet personuppgifter enligt GDPR från liknande begrepp som används i lagstiftning utanför EU. Exempelvis har Personal Identifiable Information (PII), som förekommer i bland annat amerikansk lagstiftning och flera tekniska standarder, viss överlappning med GDPR:s personuppgifter. Den rättsliga innebörden av dessa begrepp behöver emellertid inte vara densamma i varje enskilt fall. En uppgift som utgör en personuppgift enligt GDPR är därför inte nödvändigtvis PII.
Praktiska konsekvenser
En korrekt bedömning av om en upplysning utgör en personuppgift är avgörande för att säkerställa organisationens efterlevnad av GDPR. Bedömningen avgör om GDPR blir tillämplig på en uppgiftsbehandling och, i förlängningen, vilka skyldigheter som aktualiseras, exempelvis om samtycke behöver inhämtas eller om ett personuppgiftsbiträdesavtal med en leverantör ska ingås. Eftersom rättspraxis och teknik för databehandling utvecklas kontinuerligt är det viktigt att organisationer regelbundet granskar tidigare gjorda bedömningar.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör dataskydd, personuppgifter och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Förordning (EU) 2016/679.