I henhold til GDPR defineres personoplysninger som enhver identificerbar information om en person. Dette kan omfatte oplysninger såsom en persons navn, adresse, e-mailadresse, IP-adresse, biometriske data og mere.
GDPR er den mest vidtrækkende databeskyttelseslovgivning i verden. Den regulerer indsamling, opbevaring og destruktion af personoplysninger for alle EU-borgere. Organisationer beliggende geografisk uden for EU er heller ikke undtaget. Denne overordnede forordning omfatter alle personoplysninger fra EU-borgere.
Der er kun ét område, hvor der er forvirring: Hvad er personoplysninger egentlig? Og hvad er dækket af GDPR?
Hvis du ikke indhenter udtrykkeligt samtykke til indsamling af personoplysninger, vil du trods alt ikke overholde GDPR. Det kan føre til bøder på et tocifret millionbeløb.
Her vil vi dække den nøjagtige definition af personoplysninger under GDPR. Vi vil give nogle eksempler og diskutere implikationen af denne definition.
Hvad er overhovedet personoplysninger?
I henhold til GDPR defineres personoplysninger som:
“”Personoplysninger” betyder enhver information vedrørende en identificeret eller identificerbar fysisk person (“registreret”).
Hvis det lyder vagt, er det fordi det er det.
GDPR specificerer ikke præcist, hvad der betragtes som personoplysninger. Der er ingen endelig liste. Det er rent spekulativt, baseret på fortolkningen af GDPR.
Forordningen præciserer yderligere, at den kun finder anvendelse, når en person kan identificeres, direkte eller indirekte, “ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den pågældende fysiske person.”
I bund og grund alt om dem. Formentlig var lovgivningen skrevet bevidst vag for at inkludere hele spektret af personoplysninger, der kunne indsamles. Men det gør det meget muligt at overholde GDPR.
Eksempler på personoplysninger i henhold til GDPR
Det er vanskeligt at forstå, hvornår og hvor noget betragtes som personoplysninger. For at hjælpe er her fem potentielle scenarier. Kan du gætte, hvad der anses for at være personoplysninger for hver enkelt?
1. Du ejer en hundesalon og ønsker at udvide online. Du opretter et websted, der indsamler oplysninger om internetprotokoladresser og cookie-identifikatorer. Du har også et forum, hvor folk taler om alt, hvad der har med hunde at gøre – deres konto er knyttet til den hunderace, de ejer.
Svare: Her er cookies helt sikkert personoplysninger. I modsætning hertil er hunderacen muligvis ikke, da den ikke kan bruges til at identificere den pågældende person.
2. Du driver et forumwebsted, hvor folk anonymt debatterer om deres lokalpolitik. Der gives ingen oplysninger om en persons lokalitet, navn, alder eller erhverv. Kun deres politiske holdninger er opført.
Svare: Selvom de politiske holdninger gives anonymt, betragtes de stadig som personoplysninger. De er således underlagt GDPR.
3. Du arbejder for et online undersøgelsesfirma. Som en del af din undersøgelse indsamler du anonyme oplysninger om folks købsvalg. Købsvalgene opbevares i en database og bruges til at vurdere offentlige tendenser.
Svare: Da købsoplysningerne allerede er anonymiserede, er GDPR ikke relevant her. Samtykke skal stadig indsamles i første omgang. Men efterfølgende er det ikke nødvendigt med yderligere GDPR-compliance, forudsat at der ikke indsamles yderligere oplysninger.
4. Du opretter en app, der lader brugerne chatte med folk i deres umiddelbare nærhed. Appen indsamler placeringsdata og gemmer samtalen, selv efter at en person har slettet appen.
Svare: Placeringsdata, samtaleindhold og eventuelle yderligere oplysninger relateret til deres konto er alle dækket af GDPR. Det betyder, at samtykke og overholdelse er afgørende. GDPR specificerer dog også, at personoplysninger kun bør opbevares, så længe det er nødvendigt. Derfor kan du være GDPR-ikke-kompatibel, hvis du opbevarer dataene længe efter, at nogen har slettet appen.
5. Du opretter en hjemmeside, der giver folk mulighed for at morfe billeder af deres ansigter. Hjemmesiden lader dig uploade billedet og derefter downloade det endelige billede. Men hvis brugeren klikker sig væk fra siden, husker hjemmesiden ikke tidligere uploadede billeder.
Svare: Under normale omstændigheder betragtes et foto som personoplysninger. Ved denne lejlighed, da billedet automatisk slettes, er webstedsejeren dog ikke reguleret af GDPR. GDPR vil kun omfatte oplysninger såsom indsamlede cookies.
Sådan kan organisationer håndtere personoplysninger
Efter GDPR er det afgørende for organisationer at håndtere personoplysninger omhyggeligt og med omhu. Brud på GDPR kan resultere i store bøder eller endda retssager.
Der er to måder at forhindre dette på:
- Anonymisering
- Pseudonymisering
Anonymisering forstås bredt af alle. Her fjernes eller krypteres alle personoplysninger for at forhindre let identifikation af de involverede personer. Kryptering er især nyttig, da det gør det muligt at erstatte personlige data med andre data.
Det gør det muligt for personoplysninger let at blive overført eller brugt uden væsentlig bekymring for virkningen af et brud på datasikkerheden.
Pseudonymisering fungerer på samme måde. Det gør det muligt at erstatte personoplysninger med “kunstige identifikatorer”. Det gør det muligt for virksomheder at analysere de indsamlede data uden at risikere et databrud og holder sig inden for parametrene for brugerens samtykke.
Her er nogle eksempler på pseudonymisering:
- Et brugernavn på et onlineforum (i stedet for deres juridiske navn)
- En virksomhed, der analyserer brugerkøb, genererer tilfældigt pseudonymer og falske adressedata
- I et klinisk forsøg får en forsøgsperson et “undersøgelsesnummer” i stedet for deres navn
Konklusion
Det er vores komplette oversigt over, hvad der betragtes som personoplysninger i henhold til GDPR. Hvis du driver en online-forretning eller rutinemæssigt indsamler personoplysninger, vil du sandsynligvis blive påvirket af GDPR. Derfor er det vigtigt at være opmærksom på den relevante lovgivning, og hvordan du kan forblive i overensstemmelse med reglerne.
Hvis du mener, at du er berørt af GDPR, anbefaler vi fuldt ud at læse selve den 88 sider lange forordning .
Kilder:
https://www.ucl.ac.uk/data-protection/guidance-staff-students-and-researchers/practical-data-protection-guidance-notices/anonymisation-and#Pseudonymisation
https://www.gdpreu.org/the-regulation/key-concepts/personal-data/
https://www.british-assessment.co.uk/insights/what-is-personal-data-under-gdpr/
https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/what-is-personal-data/
https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp