Personuppgiftsbegreppet
Ett centralt begrepp inom GDPR är ”personuppgiftsbegreppet”. Här följer en genomgång av begreppets innebörd.
För en djupare förståelse av personuppgiftsbegreppet bör du dela upp definitionen i fyra nyckelfraser. Genom förståelse av dessa nyckelfraser kan du få ett helhetsgrepp om begreppet.
Varje upplysning …
Definitionen inleds med denna formulering. Det finns tre aspekter att beakta för att kunna avgöra om information är att betrakta som personuppgift, dess natur, innehåll och format. Med natur avses att varje upplysning om en person så väl objektiva som subjektiva är att betraktas som personuppgifter (förutsatt att övriga villkor uppfylls). Med innehåll avses alla typer av information. Begreppet är därmed inte begränsat till viss typ av information (till exempel information rörande hem och privatliv). Med format avses det format som informationen behandlas i. Personuppgiftsbegreppet täcker information som behandlas på automatisk väg och viss manuell behandling (om uppgifterna ingår i ett register).
Som avser …
För att informationen ska betraktas som en personuppgift räcker det dock inte att ovan presenterade villkor uppfylls. Informationen måste även avse en viss fysisk person. Detta innebär i praktiken att informationen måste handla om en fysisk person. I flertalet av fallen är denna fråga en självklarhet. Uppgifter i en enskild persons läkarjournal är till exempel information som utan tvivel handlar om en person. I andra fall föreligger dock inte denna självklarhet. Om man till exempel tar värdet på en bostad så är den informationen isolerad information om ett objekt (vilket faller utanför personuppgiftsbegreppet). Dock finns i många fall en fysisk person som är ägare till bostaden vilket innebär att denna information under vissa förutsättningar anses vara en personuppgift.
Även här gäller det att ha i åtanke att personuppgiftsbegreppet inte begränsas till specifika typer av innehåll. Även information om en yrkesmänniska är att klassas som personuppgift under förutsättningen att den avser en viss fysisk person.
En identifierad eller identifierbar …
Det finns även vissa krav gällande den fysiska personen som informationen avser. Enligt förordningen krävs att informationen avser en identifierad eller identifierbar fysisk person. Denna formulering öppnar upp för att så väl direkt som indirekt identifiering omfattas av begreppet.
Fysisk person …
Slutligen avgränsas personuppgiftsbegreppet till att omfatta enbart fysiska personer. I förordningen utvecklas detta inte ytterligare mer än att personuppgiftsbegreppet inte omfattar döda personer vilket framgår av skäl 27 i GDPR. Information om övriga typer av personer omfattas av begreppet.
Vill du lära dig mer om personuppgiftsbegreppet och annat inom dataskyddsområdet?
Läs då mer om informationstjänsten JP ITnet.
Publicerad 17 dec 2018