För att personuppgifter ska bli omfattade av GDPR, behöver de vara läsbara och att det ska gå att identifiera en fysisk levande person och därmed inte vara anonymiserade personuppgifter. Exempelvis kan profilbilder, e-postadresser och personnummer identifiera en person. Information som är kopplad och kan bli hänförlig till en individ indirekt, är också en personuppgift.
Om personuppgifterna ska bli anonymiserade för att behandlingen av dessa inte ska behöva följa GDPR, får det inte gå att identifiera personen längre. När uppgifter är anonyma, är det bara ”uppgifter” och inte längre personuppgifter.
Anonymiserade personuppgifter enligt GDPR
Här beskriver vi ett praktiskt exempel på hur det kan vara en gråzon kring om viss uppgift utgör en personuppgift eller inte:
Ett företag säljer kontantkort som inte behöver bli registrerade på någon individ. Det sålda kontantkortet kan utgöra en personuppgift ändå, även fast det inte blir registrerat av butiken, om en köparen kan bli identifierad genom uppgifter som finns någon annanstans. Exempelvis kan kanske försäljningsinformationen som butiken har tillgänglig bli kombinerad med information från företaget som utfärdar kontokorten. Därigenom kan köparen bli identifierad.
Krypterade meddelanden kan också vara personuppgifter, om det är möjligt för någon att kunna göra uppgifterna läsbara och identifiera personer. Exempelvis kan detta ske genom att det finns en lista med registrerade ”alias” och kopplingar till fler personuppgifter, exempelvis e-postadresser.
GDPR reglerar inte information som är anonym och som därmed inte kan identifiera en fysisk person. Det gäller både personuppgifter som blivit anonymiserade och uppgifter som aldrig kunnat identifiera en individ.
Många tror även att ett organisationsnummer tillhörande ett aktiebolag är en personuppgift, men det är det inte. Uppgifter hänförliga till juridiska personer är inte att betrakta som personuppgifter enligt GDPR.