Kunskap om GDPR
Pseudonymisering av personuppgifter
Pseudonymisering av personuppgifter är en extra skyddsåtgärd som kan vara lämplig för företag att genomföra, enligt artikel 32 i GDPR. Syftet med pseudonymisering är att minska risken för identifiering av enskilda individer. Det är exempelvis bra att genomföra pseudonymisering av personuppgifter innan informationen delas till en konsult som inte behöver direkt åtkomst till personuppgifterna i sig för att kunna utföra sitt konsultuppdrag. Tänk på att pseudonymiserade uppgifter inte är samma sak som anonyma uppgifter.
Vad innebär pseudonymisering av personuppgifter enligt GDPR?
Definitionen av pseudonymisering framgår i artikel 4(5) i GDPR. Kort sagt innebär pseudonymisering av personuppgifter att man ersätter en direkt identifierande personuppgift med en indirekt identifieringsuppgift, så att personuppgifterna inte längre kan knytas till en specifik individ, utan användning av kompletterande information. Till exempel kan ett namn bytas ut till ett alias eller en kod.
Dock är det viktigt att säkerställa att den kompletterande informationen hålls separat från den pseudonymiserade uppgiften. Exempelvis kan den ytterligare informationen finnas i ett kundregister eller en tabell som anger att koden tillhör en viss individ. Dessutom måste sådan kompletterande information vara skyddad genom lämpliga organisatoriska och tekniska säkerhetsåtgärder.
Exempel på en pseudonymiserad uppgift
En person har ett busskort som har en unik kod, för att möjliggöra spärrning av kortet om det förloras. Koden i sig är inte tillräcklig för att identifiera vilken individ kortet tillhör, men kortutgivaren har ett separat register där de kan se vem som kortet tillhör genom koden. Vid sådana fall utgör koden en personuppgift som är pseudonymiserad.
Vad är skillnaden mellan anonyma uppgifter och pseudonymiserade personuppgifter?
När personuppgifter har blivit anonymiserade, är det inte längre personuppgifter utan anonyma uppgifter. Vid sådana fall är de anonyma uppgifterna inte längre omfattade av GDPR. Det kan vara bra att anonymisera personuppgifter istället för att pseudonymisera dem, om ett företag vill spara vissa av uppgifterna. Exempelvis för att se vad kunderna gillar med företagets produkter eller tjänster, eller för att kunna anpassa företagets marknadsföring efter målgruppen.
Pseudonymisering av personuppgifter är en reversibel process, vilket innebär att det går att återställa en pseudonymiserad uppgift till de ursprungliga personuppgifterna med hjälp av den kompletterande informationen.
Subjektiva och objektiva personuppgifter
Personuppgifter kan ha en subjektiv eller objektiv karaktär. Generellt sätt är subjektiva personuppgifter mer integritetskänsliga än många typer av objektiva personuppgifter, och därför behöver företag behandla subjektiva personuppgifter med högre säkerhet.
- Exempel på objektiva personuppgifter är namn, personnummer, e-postadress, hemadress och liknande. Oftast sådant som direkt identifierar en person.
- Exempel på subjektiva personuppgifter är en diagnos från en läkare och skolbetyg. Det brukar vara sådant som beskriver en person eller en egenskap hos personen.
När kan pseudonymiserade personuppgifter vara lämpligt att använda?
När den rättslig grunden för behandlingen av personuppgifterna är berättigat intresse
Om ett företag behandlar personuppgifter med stöd i den rättsliga grunden berättigat intresse enligt artikel 6(1)(f) i GDPR, kan det vara bra att genomföra pseudonymisering av personuppgifter. Observera att företaget behöver utföra och dokumentera en intresseavvägning (LIA) för att se om företaget verkligen har ett berättigat intresse, innan behandlingen av personuppgifterna blir utförd med stöd av denna rättsliga grund.
Vid behandling av integritetskänsliga eller känsliga personuppgifter
Säkerhetskraven för behandlingen är högre, när det avser integritetskänsliga eller känsliga personuppgifter. Därför kan det vara lämpligt att behandla pseudonymiserade uppgifter, som en extra skyddsåtgärd.
Om de registrerade är barn
Barn har ett starkare skydd enligt GDPR än vuxna människor, och därför måste företag vara extra försiktiga när de behandlar personuppgifter som tillhör barn. Det kan vara lämpligt att vidta extra tekniska säkerhetsåtgärder för att skydda personuppgifterna. Ett exempel på en teknisk säkerhetsåtgärd som kan vara lämplig att använda, är pseudonymisering av personuppgifter.
Statistiska ändamål
Pseudonymisering av personuppgifter är fördelaktigt när det sker i samband med behandling av personuppgifter för statistisk ändamål. Detta beror på att det via pseudonymiserade uppgifter är möjligt att göra analyser och dra slutsatser om data, samtidigt som det kan ske utan risk att identifiera individer. Pseudonymisering av uppgifter är enligt artikel 89 i GDPR en lämplig teknisk skyddsåtgärd som bör vidtas vid behandling av personuppgifter inom bland annat statistik och forskning, för att minimera riskerna vid behandlingen.
Forskningsändamål
Det är enbart tillåtet att behandla personuppgifter för forskningsändamål, om det inte är möjligt att göra det med anonyma personuppgifter. Dessutom är det vanligt att vidta extra skyddsåtgärder, såsom pseudonymisering, om det är nödvändigt att behandla personuppgifterna. Enligt artikel 89 i GDPR är pseudonymisering av personuppgifter ett exempel på en lämplig skyddsåtgärd. Det är nämligen viktigt att se till att särskilt principen om uppgiftsminimering iakttas.
Smeknamn kan vara personuppgifter
Om man använder smeknamn i behandlingen istället för det riktiga namnet på en individ, kan det fortfarande anses vara en personuppgift. Detta gäller om det går att koppla uppgiften till en specifik person.
Ifall en arbetsgivare exempelvis har en digital lista med notering av medarbetarnas meriter och arbetsprestationer, men det står ett smeknamn som de andra anställda förstår eller kan avläsa genom informationen, utgör smeknamnet en personuppgift.
Mer information om Personuppgifter
Bilder och filmer kan vara personuppgifter
Bilder och filmer som innehåller identifierbara levande individer kan vara personuppgifter. Detsamma gäller ljudinspelningar. Därför är det viktigt att säkerställa att fotografering och filminspelning av individer sker i enlighet med GDPR, eftersom det utgör en behandling av personuppgifter. Detta innebär bland annat att företag behöver säkerställa en laglig grund innan företaget publicerar bilder eller filmer på sin personal på sin webbplats eller i sociala medier.