Det finns personuppgifter som inte är tydliga enligt GDPR, men som kan identifiera en person genom en bakvägsidentifikation. När det går att koppla en uppgift till en fysiskt levande person, är det en personuppgift. En kod eller ett användar-ID kan vara en personuppgift och därför vara omfattad av GDPR, även kallad för dataskyddsförordningen.
Med andra ord räcker det med att det går att koppla informationen indirekt till en person. Däremot gäller GDPR inte om en person är avliden eller för ofödda personer. GDPR gäller inte heller för uppgifter som är helt anonymiserade. Däremot gäller GDPR för så kallade avidentifierade eller krypterade personuppgifter, eftersom de kan bli kopplade till en fysisk person genom exempelvis bakvägsidentifikation.
Personuppgifter som inte är tydliga
Ett exempel på när en personuppgift går att koppla till en person genom en bakvägsidentifikation, är om ett företag erbjuder månadskort för tåg- och bussresor till sina anställda. På korten står det ett nummer, för att företaget ska kunna spärra kortet om det blir borttappat eller stulet. Även om personen som håller i kortet, inte kan bli identifierad direkt genom numret på kortet, finns det registrerat i en databas där det framgår vem som är ägaren till koret. Därför går det att identifiera en person genom koden.
Motsvarande gäller för användare av en applikation som använder ett användar-ID som är kopplat till användarens personliga e-postadress. Genom användar-ID går det inte att identifiera en person, men genom databasen finns en koppling mellan användar-ID och användarens e-postadress, vilket därmed utgör en personuppgift enligt GDPR.
Tydliga, avidentifierade och anonymiserade personuppgifter
Tydliga personuppgifter är till exempel namn, personnummer, profilbild och e-postadress.
När det inte längre går att koppla uppgiften till en person, genom att det exempelvis blivit pseudonymiserat eller krypterat, är det istället en avidentifierad personuppgift.
När en uppgift inte längre går att koppla till en fysisk person, är det en anonymiserad personuppgift. Dessutom är det inte längre en personuppgift enligt GDPR när det blivit anonymiserat.
