Informasjon om GDPR

Subjektive eller objektive personopplysninger

Opplysninger om en enkeltperson kan være enten subjektive eller objektive personopplysninger, dvs. personopplysninger av subjektiv eller objektiv art. Bedrifter og organisasjoner som omfattes av GDPR, må vite hva som kan utgjøre personopplysninger, inkludert om de er subjektive eller objektive personopplysninger, for å sikre rettferdig behandling. 

Hva er definisjonen på personopplysninger?

Under GDPR er personopplysninger alle data knyttet til en fysisk levende person som kan identifiseres av de aktuelle dataene. Dette gjelder uavhengig av om det er mulig å knytte dataene direkte eller indirekte til den enkelte, alene eller i kombinasjon med andre data. 

Det finnes også ulike kategorier og grupper av personopplysninger, og noen må behandles med større sikkerhet. Med andre ord, jo viktigere personopplysningene er, desto større er sikkerhetskravene. 

What breaches of the GDPR can lead to an administrative fine?

Dekker GDPR personopplysningene til avdøde personer?

Nei, GDPR dekker ikke personopplysningene til avdøde personer, i henhold til fortalepunkt 27 i GDPR. Dette betyr at bare personopplysningene til levende mennesker er dekket av GDPR. På den annen side er det opp til hver medlemsstat å fastsette sine egne nasjonale regler for behandling av personopplysninger om avdøde personer. 

Finnes det kategorier av personopplysninger som er personvernsensitive eller sensitive?

Ja, det er forskjellige grupperinger av subjektive eller objektive personopplysninger, hvorav noen er mer følsomme for personvern enn andre. Det er mulig å dele personvernsensitive personopplysninger inn i fire (4) grupper. Disse inkluderte blant annet følgende:

Subjektive personvernsensitive personopplysninger

En av de fire gruppene er subjektive personvernsensitive personopplysninger, som bankkontoinformasjon, private kommunikasjonsdata, personidentifikasjonsnumre og posisjonsdata. Med andre ord refererer denne gruppen til personopplysninger som individet kan føle seg ubehagelig eller personvernpåtrengende for noen andre å behandle. Det kan derfor være en objektiv del av personopplysninger, som er subjektivt følsomme for personvern.

Særlige kategorier av personopplysninger

Det finnes særlige bestemmelser i GDPR om behandling av særlige kategorier av personopplysninger, også kalt «sensitive personopplysninger». Behandling er forbudt etter den generelle regelen fastsatt i artikkel 9 i GDPR. Det finnes imidlertid unntak, og de fleste bedrifter behandler sensitive personopplysninger om sine ansatte. For eksempel opplysninger om ansattes sykefravær, diagnoser og blodgruppe. Andre eksempler på sensitive personopplysninger er opplysninger som avslører opplysninger om en persons religiøse overbevisning, politiske meninger og biometriske data.

Hva er personopplysninger av objektiv karakter?

Personopplysninger av objektiv karakter, dvs. objektive personopplysninger, oppfattes først og fremst direkte av mange som klare personopplysninger. For eksempel, et fornavn, telefonnummer, postadresse, bankkontonummer, etc. Personopplysninger av objektiv karakter er vanligvis de som direkte kan identifisere en fysisk levende person. 

Denne typen personopplysninger er ofte basert på fakta, målbare og etterprøvbare. Objektive personopplysninger kan også bevises å være falske eller sanne. For eksempel bankkontonummer, dato for ansettelse. Kort sagt, objektive personopplysninger avslører faktisk informasjon om en person.

Hva er personopplysninger av subjektiv karakter?

Opplysninger om en enkeltperson som er basert på inntrykk, vurderinger, meninger eller forutsetninger, er personopplysninger av subjektiv karakter. Det vil si subjektive personopplysninger. Med andre ord betyr dette at forskjellige personer kan ha forskjellige subjektive vurderinger basert på den personlige oppfatningen av et individ. 

Subjektive personopplysninger er også de som beskriver en karakteristikk av en person, eller består av en vurdering av en person. Personopplysninger av subjektiv art er ofte mer følsomme for personvern enn personopplysninger av objektiv art, og bør behandles med en høyere grad av sikkerhet for å beskytte dem mot risikoene som behandlingen medfører. Dette skyldes at personopplysninger av subjektiv karakter ofte oppfattes som personvernsensitive for den registrerte. 

Eksempler på subjektive personopplysninger

Diagnoser

Når en lege gjør en diagnose til en pasient.

Kredittverdighet

Når en person ønsker å ta opp et banklån og banken vurderer den økonomiske situasjonen og kredittverdigheten til personen.

Vurdering av

Når lærere rangerer elever.

Referanser

Når en arbeidsgiver er en referanse til en arbeidstaker og gir sin mening om arbeideren.

Mer om personopplysninger

Anonymiserte opplysninger

Ved å anonymisere personopplysninger kan bedrifter fortsette å behandle data som kan være nyttige for dem. Når dataene er blitt anonymisert i samsvar med de tre kriteriene fra de europeiske databeskyttelsesmyndighetene, utgjør dataene ikke lenger personopplysninger. Som et resultat er de anonymiserte dataene ikke lenger underlagt GDPR. I motsetning til dette utgjør anonymiseringsprosessen i seg selv behandling av personopplysninger som faller innenfor rammen av GDPR. Dette innebærer blant annet at de registrerte har rett til å bli informert om prosessen. Vær oppmerksom på at pseudonymiserte data ikke er det samme som anonymiserte data. 

Lyst til å lære mer?

Les mer
Scroll to Top