Det finns olika typer av personuppgifter

Det finns olika typer av personuppgifter enligt GDPR. När det går att koppla en uppgift till en fysiskt levande person, är det en personuppgift enligt GDPR. Detta gäller oavsett om det går att identifiera personen direkt genom uppgiften ifråga, eller genom en så kallad bakvägsidentifikation

olika typer av personuppgifter

Det finns olika typer av personuppgifter. Dessutom skiljer GDPR på olika personuppgifter beroende på hur integritetskänsliga de är. Ju mer integritetskänsliga, desto högre är kravet på företaget vid behandlingen. Dessutom är vissa personuppgifter förbjudna att behandla.

Syftet med GDPR

Syftet med GDPR framgår bland annat i skäl 2 i dataskyddsförordningen (GDPR), och är att:

– Skydda fysiska personer när personuppgifter tillhörande dem blir behandlade,

– Skapa förutsättningar för ett fritt flöde av personuppgifter inom EU.

Tydliga och mindre tydliga personuppgifter

Enligt GDPR finns det olika typer av personuppgifter, exempelvis tydliga och mindre tydliga. Tydliga personuppgifter är exempelvis namn eller personnummer, vilka kan identifiera en fysisk person direkt.

Mindre tydliga personuppgifter är sådana som det inte går att avläsa vem personen är direkt genom uppgiften, men att det går genom en bakvägsidentifikation.

Exempel på en mindre tydlig personuppgift är säkerhetskoden anknuten till ett personbundet busskort. Företaget som säljer busskortet kan spärra kortet och skapa ett nytt till personen ifråga, eftersom säkerhetskoden identifierar personen. I och med att namnet och koden finns lagrad hos företaget, går det att identifiera personen genom säkerhetskoden, vilket utgör en form av bakvägsidentifikation.

Personuppgifter av subjektiv och objektiv karaktär

Det är skillnad på personuppgifter av subjektiv och objektiv karaktär, vilket är två olika typer av personuppgifter. Subjektiva personuppgifter är beskrivande egenskaper. Till exempel en läkardiagnos eller ett skolbetyg. Till skillnad från objektiva personuppgifter, som identifierar en enskild person, såsom namn och personnummer.

Anonymiserade och pseudonymiserade uppgifter

Ett företag kan anonymisera personuppgifter och då är det inte längre personuppgifter. Därmed gäller inte GDPR för de anonyma uppgifterna. Anonymiserade uppgifter identifierar inte någon person, vilket är kravet för att det ska vara en personuppgift.

Pseudonymiserade uppgifter innebär att personuppgifterna inte längre kan bli direkt kopplade till en viss person utan att bli kombinerade eller kompletterade med andra uppgifter. Exempelvis kan användare i ett system få ett specifikt alias bestående av en kombination av siffror och bokstäver. Genomm att enbart läsa detta alias, går det inte att koppla det direkt till en viss person, men i kombination med ett annat register som anger vilken användare som tillhör aliaset, är det möjligt. De kompletterande uppgifterna ska vara bevarade på ett sätt att obehöriga inte får tillgång till dem, och avskilt från de pseudonymiserade uppgifterna.

Integritetskänsliga personuppgifter

De integritetskänsliga personuppgifterna går att dela in i fyra olika grupper. När företag behandlar integritetskänsliga personuppgifter, måste företaget vidta högre säkerhetsåtgärder än vid behandling av vanliga personuppgifter. Nedan följer en beskrivning av olika grupper utav integritetskänsliga personuppgifter.

1. Känsliga personuppgifter

Det finns olika typer av personuppgifter enligt GDPR och känsliga uppgifter är en utav dessa. Enligt huvudregeln i GDPR är det förbjudet att behandla känsliga personuppgifter, som utgör den första gruppen av de integritetskänsliga personuppgifterna. Exempel på känsliga personuppgifter är uppgifter om hälsa, etniskt ursprung eller religiös övertygelse. Detsamma gäller biometriska uppgifter och medlemskap i en fackförening. Det finns dock undantag i GDPR som gör det tillåtet i vissa fall att hantera känsliga personuppgifter. Exempelvis har en arbetsgivare rätt att behandla information om de anställdas hälsa, exempelvis sjukfrånvaro, för att arbetsgivaren ska fullgöra sina skyldigheter enligt lagen. Till exempel att utbetala sjuklön.

2. Uppgifter om lagöverträdelser

När personuppgifter är kopplade till fällande domar som gäller brottmål, är det fråga om uppgifter om lagöverträdelser som utgör den andra gruppen av integritetskänsliga personuppgifter. I vissa EU-länder såsom Sverige, är det i alla fall tillåtet för vissa företag att publicera till exempel sådana uppgifter med stöd i ett så kallat frivilligt utgivningsbevis. Företag kan även ansöka hos tillsynsmyndigheten om att få publicera sådana uppgifter. I Sverige är det Integritetsskyddsmyndigheten som är tillsynsmyndighet.

3. Personnummer och samordningsnummer

Personnummer och samordningsnummer utgör den tredje gruppen av integritetskänsliga personuppgifter. Ett företag får behandla personnummer och samordningsnummer utan ett samtycke i vissa fall. Vid sådana fall måste det vara motiverat med hänsyn till ändamålet och något annat beaktansvärt skäl.

4. Subjektiva upplevelser av integritetsintrång

En grupp av integritetskänsliga personuppgifter kan man kalla för subjektivt integritetskänsliga uppgifter. Anledningen är att det inte finns någon specialbestämmelse i GDPR. Olika personer kan betrakta olika personuppgifter som mer eller mindre känsliga. Exempelvis tycker vissa personer att det är integritetskränkande om personuppgifterna är kopplade till hushållet eller personliga preferenser.

Observera att det finns fler saker att tänka på gällande känsligheten i personuppgifter. Det är till exempel mer känsligt att behandla personuppgifter som tillhör barn än vuxna.

Skicka lönespecifikation med okrypterad mejl

Lönespecifikationer brukar innehålla uppgifter om sjukfrånvaro, vilket är en uppgift om hälsa och därmed en känslig personuppgift. Därför måste företaget vidta bättre skyddsåtgärder vid behandlingen. Det innebär bland annat att företag inte bör skicka en lönespecifikation som innehåller känsliga personuppgifter via mejl som inte är krypterad.

Universitet skickade känsliga personuppgifter via mejl som inte var krypterad

Ett universitet fick betala totalt 550 000 kr (ungefär 55 000 euro) i sanktionsavgift på grund av att de skickat känsliga personuppgifter via okrypterad e-post. Forskare på universitetet hade begärt att få känslig information gällande våldtäkter mot män från Polisen, som Polisen utlämnade till forskarna via bud. Därefter begärde forskarna kompletterande information från Polisen via mejl, och bifogade en inscannade version av ett utav förundersökningsprotokollen som innehöll känsliga personuppgifter i mejlet. Mejlet som forskarna skickade till Polisen var okrypterad och blev skickat via ett öppet nät. Universitetet var den personuppgiftsansvarige och därför fick universitetet en sanktionsavgift för brott mot GDPR.

Personuppgifter om barn

Enligt GDPR och även ett flertal andra lagar, har barn ett starkare skydd än vuxna. Det är tillåtet att behandla personuppgifter om barn, men reglerna är striktare. Dessutom kan det vara nödvändigt att få ett samtycke från vårdnadshavaren i vissa fall också. Förmågan att bedöma risker kan vara sämre för barn när det gäller att förstå konsekvenserna av att lämna ut sina personuppgifter och därför anses de extra skyddsvärda enligt GDPR.

Bilder, videor eller röstinspelningar kan vara personuppgifter

Om det går att identifiera en person genom en bild, video eller röstinspelning, är det en personuppgift. Det spelar ingen roll om det går att identifiera personen direkt eller indirekt.

Personuppgifters livscykel

Det finns olika typer av personuppgifter, och de går ofta igenom följande tre delar i sin livscykel:

1. Insamling

Företaget börjar med att samla in personuppgifterna. Här är det viktigt att tänka på att informera de registrerade om behandlingen. Det ska bland annat framgå vilket ändamålet är med behandlingen, den rättsliga grunden företaget stödjer behandlingen på, hur länge företaget ska behandla personuppgifterna m.m. Informationen som registrerade ska få innan en behandling blir utförd framgår närmare i artikel 13 och 14 GDPR.

2. Behandling

Därefter behandlar företaget personuppgifterna. Om företaget inte behandlar personuppgifterna i enlighet med GDPR, kan företaget behöva betala en sanktionsavgift. Företaget behöver bland annat implementera de tekniska och organisatoriska säkerhetsåtgärderna som är nödvändiga för att kunna följa regelverket och skydda personuppgifterna. Dessutom behöver företaget ha relevanta GDPR dokument och avtal, för att följa förordningen och styrka att företaget gör det i praktiken. I vissa fall måste ett företag också utse ett dataskyddsombud.

3. Radering

Den sista delen av livscykeln är att gallra personuppgifterna. Gallra är ett annat ord för att radera personuppgifterna, vilket företag ska göra när personuppgifterna inte längre är nödvändiga för det syfte de blev inhämtade för. Enligt principen om lagringsminimering och rätten att bli glömd ska företaget inte lagra fler personuppgifter än nödvändigt. Personuppgifter ska bli raderade när de inte längre är nödvändiga. Företag bör därför ha rutiner för gallring, som ska ske regelbundet, till exempel varje kvartal.

Undantag när GDPR inte gäller vid behandling av personuppgifter

Det finns vissa situationer där GDPR inte gäller vid behandling av personuppgifter. Till exempel:

– När behöriga myndigheter behandlar personuppgifter för att förhindra, utreda, lagföra brott eller liknande. Det står istället reglerat i en särskilt unionsakt.

– Vid behandling som är av helt privat karaktär eller för hushållet och helt saknar koppling till någon yrkes- eller affärsmässig verksamhet.

Incidenter som involverar personuppgifter

Om det sker en säkerhetsincident som innebär att personuppgifter kommer till åtkomst för någon obehörig, att personuppgifter blir förstörda, förlorade eller obehörigt ändrade är det en personuppgiftsincident. Vissa personuppgiftsincidenter ska bli anmälda till till Integritetsskyddsmyndigheten (IMY) och de registrerade som blivit påverkade. När en personuppgiftsincident ska bli anmäld till IMY, ska det ske inom 72 timmar från och med upptäckten.

Personuppgiftsincidenter kan få allvarliga konsekvenser för de drabbade, till exempel ekonomisk skada, bedrägeri eller identitetsstöld. Företag ska motverka personuppgiftsincidenter genom att vidta lämpliga organisatoriska och tekniska åtgärder. Till exempel upprätta rutiner och ha en plan på hur företaget ska hantera en eventuell personuppgiftsincident. Alla personuppgiftsincidenter måste bli dokumenterade internt, även sådana som inte behöver bli anmälda till dataskyddsmyndigheten.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.